Les fausses applications ChatGPT arnaquent les utilisateurs d'Android

Les experts en sécurité de Sophos ont lancé un avertissement concernant une nouvelle forme d'escroquerie infiltrant Google Play et l'App Store d'Apple. Ces applications frauduleuses prétendent fournir un accès au service de chatbot d'OpenAI, ChatGPT, via des essais gratuits, mais finissent par facturer des frais d'abonnement.

Bien qu'OpenAI propose des versions payantes de GPT et ChatGPT pour les utilisateurs réguliers et les développeurs, le chatbot AI peut être essayé gratuitement sur le site Web d'OpenAI. Les escrocs derrière ces applications profitent des personnes qui s'intéressent à la nouvelle technologie mais qui n'ont pas les connaissances nécessaires pour l'essayer eux-mêmes. Les chercheurs ont d'abord découvert ces applications frauduleuses via des publicités dans des applications d'actualités et des réseaux sociaux, mais les utilisateurs peuvent également les rencontrer lors de leurs recherches sur Google Play et l'App Store.

Les escrocs utilisent des tactiques telles que des fautes de frappe dans les noms d'applications pour cibler les utilisateurs moins avertis et éviter ceux qui annuleraient l'essai gratuit en raison d'un mécontentement. Ces escroqueries entrent dans la catégorie des "polaires". La difficulté à lutter contre ces applications réside dans le fait qu'elles ne présentent pas de comportement ouvertement malveillant, ce qui rend difficile leur identification en tant que malware explicite. Lors de la soumission de ces applications à Apple et Google pour examen, les escrocs peuvent ne pas divulguer entièrement les détails du prix de l'abonnement ou le moment où les utilisateurs devront payer pour continuer à utiliser l'application. Plus tard, ils peuvent modifier les conditions d'abonnement sans changer les aspects techniques de l'application.

Modèles d'abonnement Storefront d'abus d'applications

Google et Apple fournissent des mécanismes permettant aux développeurs de proposer des achats intégrés, y compris des frais uniques et des frais récurrents. Ces entreprises reçoivent un pourcentage des paiements collectés par les applications dans leurs magasins d'applications respectifs.

Par exemple, l'application Android "Open Chat GBT" pouvait être téléchargée gratuitement mais bombardait les utilisateurs de publicités excessives. Les utilisateurs n'avaient droit qu'à trois interactions avec le chatbot avant d'être invités à s'abonner. Par défaut, les utilisateurs pourraient opter pour un essai gratuit de trois jours, après quoi l'abonnement coûterait 10 $ par mois. Une autre option était un abonnement annuel de 30 $. Les chercheurs ont également trouvé une application similaire avec un nom différent mais du même développeur dans l'App Store pour iOS.

Les chercheurs de Sophos ont signalé certaines des fausses applications de chatbot IA à Apple et Google, entraînant le retrait de certaines applications. Cependant, certaines applications sont restées disponibles même après avoir été signalées. Apple et Google ont reconnu les soumissions, mais ils n'ont pas immédiatement répondu aux demandes de commentaires.

Les chercheurs soupçonnent que certaines de ces applications utilisent l'API ChatGPT 3 d'OpenAI pour générer du contenu, tandis que d'autres utilisent des fonctionnalités de chatbot de moindre qualité. Au lieu de limiter le nombre de requêtes, certaines applications tronquent les réponses et ne fournissent aux utilisateurs qu'un extrait jusqu'à ce qu'ils s'abonnent.

Un problème important avec les logiciels polaires, comme l'a souligné Gallagher, chercheur principal sur les menaces chez Sophos, est que les utilisateurs manquent souvent de connaissances sur la gestion de leurs abonnements. Ils peuvent ne pas se rendre compte que même après la suppression d'une application, les paiements récurrents pour le service continueront.