Le app ChatGPT false truffano gli utenti Android

Gli esperti di sicurezza di Sophos hanno lanciato un avviso su una nuova forma di truffa che si infiltra in Google Play e nell'App Store di Apple. Queste app fraudolente affermano di fornire l'accesso al servizio di chatbot di OpenAI, ChatGPT, attraverso prove gratuite, ma alla fine iniziano ad addebitare costi di abbonamento.

Sebbene OpenAI offra versioni a pagamento di GPT e ChatGPT per utenti e sviluppatori regolari, il chatbot AI può essere provato gratuitamente sul sito Web di OpenAI. I truffatori dietro queste app approfittano delle persone che sono interessate alla nuova tecnologia ma non hanno le conoscenze per provarla da soli. I ricercatori hanno inizialmente scoperto queste app truffa tramite annunci nelle app di notizie e nei social network, ma gli utenti potrebbero anche trovarle durante le ricerche su Google Play e sull'App Store.

I truffatori usano tattiche come errori di battitura nei nomi delle app per prendere di mira gli utenti meno esperti di tecnologia ed evitare coloro che annullerebbero la prova gratuita a causa dell'insoddisfazione. Queste truffe rientrano nella categoria di "fleeceware". La difficoltà nel combattere queste app risiede nel fatto che non presentano comportamenti apertamente dannosi, il che rende difficile identificarle come malware esplicito. Quando inviano queste app ad Apple e Google per la revisione, i truffatori potrebbero non rivelare completamente i dettagli del prezzo dell'abbonamento o quando gli utenti dovranno pagare per continuare a utilizzare l'app. Successivamente, possono modificare i termini dell'abbonamento senza modificare gli aspetti tecnici dell'app.

Le app di sfruttamento abusano dei modelli di abbonamento alla vetrina

Google e Apple forniscono agli sviluppatori meccanismi per offrire acquisti in-app, inclusi costi una tantum e addebiti ricorrenti. Queste aziende ricevono una percentuale sui pagamenti raccolti dalle app nei rispettivi app store.

Ad esempio, l'app per Android "Open Chat GBT" poteva essere scaricata gratuitamente ma bombardava gli utenti con pubblicità eccessive. Agli utenti erano consentite solo tre interazioni con il chatbot prima che venisse richiesto di iscriversi. Per impostazione predefinita, gli utenti potrebbero optare per una prova gratuita di tre giorni, dopodiché l'abbonamento costerebbe $ 10 al mese. Un'altra opzione era un abbonamento annuale di $ 30. I ricercatori hanno anche trovato un'app simile con un nome diverso ma dello stesso sviluppatore nell'App Store per iOS.

I ricercatori di Sophos hanno segnalato ad Apple e Google alcune delle false app di chatbot AI, portando alla rimozione di alcune app. Tuttavia, alcune app sono rimaste disponibili anche dopo essere state segnalate. Apple e Google hanno riconosciuto i contributi, ma non hanno risposto immediatamente alle richieste di commento.

I ricercatori sospettano che alcune di queste app utilizzino l'API ChatGPT 3 di OpenAI per generare contenuti, mentre altre utilizzino funzionalità di chatbot di qualità inferiore. Invece di limitare il numero di query, alcune app troncano le risposte e forniscono agli utenti solo uno snippet finché non si iscrivono.

Un problema significativo con il fleeceware, come evidenziato da Gallagher, ricercatore senior di minacce presso Sophos, è che gli utenti spesso non hanno conoscenze sulla gestione dei propri abbonamenti. Potrebbero non rendersi conto che anche dopo aver eliminato un'app, i pagamenti ricorrenti per il servizio continueranno.