Queste app, ribattezzate "fleeceware", sfruttano le scappatoie presenti nelle policy degli app store
e impiegano tattiche coercitive per addebitare costi esagerati agli utilizzatori di assistenti basati su AI

Milano — Maggio 18, 2023 —

Sophos, leader globale nell'innovazione e nell'erogazione della cybersicurezza as-a-service, annuncia di aver scoperto diverse app che si fingono chatbot legittimi basati su ChatGPT per incassare migliaia di dollari ogni mese facendo pagare somme elevate agli utenti.

Come spiega l’ultimo report di Sophos X-Ops dal titolo “’FleeceGPT” Mobile Apps Target AI-Curious to Rake in Cash”, queste app sono comparse sia all'interno di Google Play che di Apple App Store. In particolare, si tratta di versioni gratuite che sono praticamente prive di funzionalità e che mostrano costantemente annunci pubblicitari spingendo gli utenti ad attivare abbonamenti che possono arrivare a costare centinaia di dollari all'anno.

“I truffatori hanno sempre sfruttato e sempre sfrutteranno le ultime tendenze tecnologiche per riempirsi le tasche. ChatGPT non fa eccezione. Considerato l'altissimo interesse che circonda oggi AI e chatbot, gli utenti vanno su Apple App Store e su Google Play per scaricare qualsiasi cosa possa assomigliare a ChatGPT. Queste app fasulle, che Sophos ha ribattezzato “fleeceware”, spesso bombardano di annunci pubblicitari gli utenti finché questi non stipulano un abbonamento, facendo affidamento sul fatto che le persone non prestano attenzione ai costi o che finiscono per dimenticarsi dell'abbonamento in corso. Le app sono progettate in modo tale che il loro utilizzo risulti estremamente limitato così che, al termine del periodo di prova gratuita, gli utenti le cancellino senza rendersi conto di essere ancora vincolati a un addebito mensile o settimanale”, dichiara Sean Gallagher, Principal Threat Researcher di Sophos.

Sophos X-Ops ha analizzato complessivamente cinque di questi fleeceware, ognuno dei quali sosteneva di essere basato sull'algoritmo di ChatGPT. In alcuni casi, come con la app “Chat GBT”, gli autori hanno giocato sul nome ChatGPT per migliorare il posizionamento della app stessa sui vari app store. Mentre OpenAI propone online le funzionalità base di ChatGPT gratuitamente, queste app addebitano da 10 dollari al mese fino a 70 dollari all'anno. La versione iOS di “Chat GBT”, chiamata Ask AI Assistant, addebita 6 dollari alla settimana (312 dollari all'anno) dopo un periodo di prova gratuita di tre giorni facendo guadagnare ai suoi sviluppatori 10.000 dollari nel solo mese di marzo. Una altra app di questo tipo, Genie, che spinge gli utenti ad attivare un abbonamento da 7 dollari alla settimana o 70 dollari all'anno, ha totalizzato nello scorso mese ricavi per ben 1 milione di dollari.

Le principali caratteristiche del fleeceware, rilevato per la prima volta da Sophos nel 2019, sono l'addebito di costi esagerati per funzionalità che si possono ritrovare gratuitamente altrove, e l'impiego di tattiche ingannevoli e di social engineering per convincere le persone ad attivare abbonamenti a pagamento. Di solito queste app offrono un periodo di prova gratuita, ma con così tante pubblicità e restrizioni da essere pressoché inutilizzabili a meno di non pagare un abbonamento. Sono app scritte e implementate in modo carente, il che significa che le loro funzionalità sono meno che soddisfacenti anche nella versione a pagamento. Gli autori ne gonfiano le valutazioni all'interno degli app store attraverso recensioni fasulle e richieste insistenti agli utenti affinché valutino la app prima ancora che venga utilizzata o che finisca il periodo di prova gratuita.

“Il fleeceware è composto da app progettate apposta per restare al limite di quanto consentito dai termini di servizio Google e Apple senza violare le regole di sicurezza o di privacy: per questo vengono difficilmente respinte dagli app store in fase di verifica. Anche se Google e Apple hanno implementato nuove linee guida per contrastare il fleeceware da quando abbiamo iniziato a segnalarne la presenza nel 2019, gli sviluppatori trovano sempre nuovi modi di aggirare le policy, ad esempio limitando fortemente l'utilizzo e le funzionalità a meno che non si paghi un abbonamento. Anche se alcuni fleeceware ispirati a ChatGPT analizzati in questo report sono già stati rimossi, molti altri continuano a comparire e probabilmente sarà un trend in crescita. La miglior protezione in questo caso è la sensibilizzazione. Gli utenti devono essere consapevoli dell'esistenza di queste app ed essere sempre attenti a leggere le clausole prima di premere il pulsante “abbonati”. Gli utenti possono anche segnalare le app ad Apple e Google se pensano che gli autori stiano utilizzando metodi non etici per guadagnare”, conclude Gallagher.

Tutte le app citate nel report sono state segnalate ad Apple e Google. Gli utenti che le avessero già scaricate possono seguire le linee guida previste dai rispettivi app store per terminare gli abbonamenti. Limitarsi a cancellare una app non ne interrompe l'abbonamento eventualmente in corso.

Maggiori informazioni su questo genere di truffa e su come evitarla sono consultabili nel report ’”FleeceGPT’ Mobile Apps Target AI-Curious to Rake in Cash” su Sophos.com

Informazioni aggiuntive

Informazioni su Sophos

Sophos, leader mondiale e innovatore nelle soluzioni di sicurezza avanzate per neutralizzare i cyberattacchi, tra cui servizi MDR (Managed Detection and Response) e incident response, mette a disposizione delle aziende un’ampia gamma di soluzioni di sicurezza per endpoint, network, email e cloud al fine di supportarle nella lotta ai cyber attacchi. In quanto uno dei principali provider di cybersecurity, Sophos protegge oltre 600.000 realtà e più di 100 milioni di utenti a livello globale da potenziali minacce, ransomware, phishing, malware e altro. I servizi e le soluzioni di Sophos vengono gestiti attraverso la console Sophos Central, basata su cloud, e si incentra su Sophos X-Ops, l'unità di threat intelligence cross-domain dell'azienda. Sophos X-Ops ottimizza l’intero ecosistema adattivo di cybersecurity di Sophos, che include un data lake centralizzato, che si avvale di una ricca serie di API aperti, resi disponibili ai clienti, ai partner, agli sviluppatori e ad altri fornitori di cyber security e information technology. Sophos fornisce cybersecurity as a service alle aziende che necessitano di soluzioni chiavi in mano interamente gestite. I clienti possono scegliere di gestire la propria cybersecurity direttamente con la piattaforma di Sophos per le operazioni di sicurezza o di adottare un approccio ibrido, integrando i propri servizi con quelli di Sophos, come il threat hunting e la remediation. Sophos distribuisce i propri prodotti attraverso partner e fornitori di servizi gestiti (MSP) in tutto il mondo. Sophos ha sede a Oxford, nel Regno Unito. Ulteriori informazioni sono disponibili su www.sophos.it.