Queste app, ribattezzate "fleeceware", sfruttano le scappatoie presenti nelle policy degli app store
e impiegano tattiche coercitive per addebitare costi esagerati agli utilizzatori di assistenti basati su AI
Sophos, leader globale nell'innovazione e nell'erogazione della cybersicurezza as-a-service, annuncia di aver scoperto diverse app che si fingono chatbot legittimi basati su ChatGPT per incassare migliaia di dollari ogni mese facendo pagare somme elevate agli utenti.
Come spiega l’ultimo report di Sophos X-Ops dal titolo “’FleeceGPT” Mobile Apps Target AI-Curious to Rake in Cash”, queste app sono comparse sia all'interno di Google Play che di Apple App Store. In particolare, si tratta di versioni gratuite che sono praticamente prive di funzionalità e che mostrano costantemente annunci pubblicitari spingendo gli utenti ad attivare abbonamenti che possono arrivare a costare centinaia di dollari all'anno.
“I truffatori hanno sempre sfruttato e sempre sfrutteranno le ultime tendenze tecnologiche per riempirsi le tasche. ChatGPT non fa eccezione. Considerato l'altissimo interesse che circonda oggi AI e chatbot, gli utenti vanno su Apple App Store e su Google Play per scaricare qualsiasi cosa possa assomigliare a ChatGPT. Queste app fasulle, che Sophos ha ribattezzato “fleeceware”, spesso bombardano di annunci pubblicitari gli utenti finché questi non stipulano un abbonamento, facendo affidamento sul fatto che le persone non prestano attenzione ai costi o che finiscono per dimenticarsi dell'abbonamento in corso. Le app sono progettate in modo tale che il loro utilizzo risulti estremamente limitato così che, al termine del periodo di prova gratuita, gli utenti le cancellino senza rendersi conto di essere ancora vincolati a un addebito mensile o settimanale”, dichiara Sean Gallagher, Principal Threat Researcher di Sophos.
Sophos X-Ops ha analizzato complessivamente cinque di questi fleeceware, ognuno dei quali sosteneva di essere basato sull'algoritmo di ChatGPT. In alcuni casi, come con la app “Chat GBT”, gli autori hanno giocato sul nome ChatGPT per migliorare il posizionamento della app stessa sui vari app store. Mentre OpenAI propone online le funzionalità base di ChatGPT gratuitamente, queste app addebitano da 10 dollari al mese fino a 70 dollari all'anno. La versione iOS di “Chat GBT”, chiamata Ask AI Assistant, addebita 6 dollari alla settimana (312 dollari all'anno) dopo un periodo di prova gratuita di tre giorni facendo guadagnare ai suoi sviluppatori 10.000 dollari nel solo mese di marzo. Una altra app di questo tipo, Genie, che spinge gli utenti ad attivare un abbonamento da 7 dollari alla settimana o 70 dollari all'anno, ha totalizzato nello scorso mese ricavi per ben 1 milione di dollari.
Le principali caratteristiche del fleeceware, rilevato per la prima volta da Sophos nel 2019, sono l'addebito di costi esagerati per funzionalità che si possono ritrovare gratuitamente altrove, e l'impiego di tattiche ingannevoli e di social engineering per convincere le persone ad attivare abbonamenti a pagamento. Di solito queste app offrono un periodo di prova gratuita, ma con così tante pubblicità e restrizioni da essere pressoché inutilizzabili a meno di non pagare un abbonamento. Sono app scritte e implementate in modo carente, il che significa che le loro funzionalità sono meno che soddisfacenti anche nella versione a pagamento. Gli autori ne gonfiano le valutazioni all'interno degli app store attraverso recensioni fasulle e richieste insistenti agli utenti affinché valutino la app prima ancora che venga utilizzata o che finisca il periodo di prova gratuita.
“Il fleeceware è composto da app progettate apposta per restare al limite di quanto consentito dai termini di servizio Google e Apple senza violare le regole di sicurezza o di privacy: per questo vengono difficilmente respinte dagli app store in fase di verifica. Anche se Google e Apple hanno implementato nuove linee guida per contrastare il fleeceware da quando abbiamo iniziato a segnalarne la presenza nel 2019, gli sviluppatori trovano sempre nuovi modi di aggirare le policy, ad esempio limitando fortemente l'utilizzo e le funzionalità a meno che non si paghi un abbonamento. Anche se alcuni fleeceware ispirati a ChatGPT analizzati in questo report sono già stati rimossi, molti altri continuano a comparire e probabilmente sarà un trend in crescita. La miglior protezione in questo caso è la sensibilizzazione. Gli utenti devono essere consapevoli dell'esistenza di queste app ed essere sempre attenti a leggere le clausole prima di premere il pulsante “abbonati”. Gli utenti possono anche segnalare le app ad Apple e Google se pensano che gli autori stiano utilizzando metodi non etici per guadagnare”, conclude Gallagher.
Tutte le app citate nel report sono state segnalate ad Apple e Google. Gli utenti che le avessero già scaricate possono seguire le linee guida previste dai rispettivi app store per terminare gli abbonamenti. Limitarsi a cancellare una app non ne interrompe l'abbonamento eventualmente in corso.
Maggiori informazioni su questo genere di truffa e su come evitarla sono consultabili nel report ’”FleeceGPT’ Mobile Apps Target AI-Curious to Rake in Cash” su Sophos.com
Informazioni aggiuntive
- Fleeceware apps su Google Play e Apple App Store
- Come utilizzare la ChatGPT a vostro vantaggio per contrastare i cyberattacchi in GPT for you and me: Applying AI language processing to cyber defenses
- Comportamenti, tecniche e tattiche dei cybercriminali nel 2023 Active Adversary Report for Business Leaders, basato sull'analisi dei casi di risposta di Sophos agli incidenti
- Il panorama delle minacce e le tendenze che potrebbero avere un impatto sulla cybersecurity nei prossimi anni nel 2023 Threat Report
- La ricerca Sophos X-Ops attraverso l’iscrizione al Sophos X Blog