Fałszywe aplikacje ChatGPT oszukują użytkowników Androida

Eksperci ds. bezpieczeństwa z firmy Sophos ostrzegają przed nową formą oszustwa infiltrującego Google Play i Apple App Store. Te oszukańcze aplikacje twierdzą, że zapewniają dostęp do usługi chatbota OpenAI, ChatGPT, poprzez bezpłatne wersje próbne, ale ostatecznie zaczynają pobierać opłaty subskrypcyjne.

Chociaż OpenAI oferuje płatne wersje GPT i ChatGPT dla zwykłych użytkowników i programistów, chatbot AI można wypróbować bezpłatnie na stronie OpenAI. Oszuści stojący za tymi aplikacjami wykorzystują osoby, które są zainteresowane nową technologią, ale nie mają wiedzy, aby samodzielnie ją wypróbować. Badacze początkowo odkryli te oszukańcze aplikacje za pośrednictwem reklam w aplikacjach informacyjnych i sieciach społecznościowych, ale użytkownicy mogą również natknąć się na nie podczas wyszukiwania w Google Play i App Store.

Oszuści stosują taktyki, takie jak literówki w nazwach aplikacji, aby atakować użytkowników mniej obeznanych z technologią i unikać tych, którzy anulowaliby bezpłatny okres próbny z powodu niezadowolenia. Oszustwa te należą do kategorii „oprogramowania polarowego”. Trudność w zwalczaniu tych aplikacji polega na tym, że nie wykazują one jawnie złośliwego zachowania, co sprawia, że trudno jest je zidentyfikować jako jawne złośliwe oprogramowanie. Przesyłając te aplikacje do Apple i Google do sprawdzenia, oszuści mogą nie ujawnić w pełni szczegółów dotyczących cen subskrypcji lub informacji o tym, kiedy użytkownicy będą musieli zapłacić za dalsze korzystanie z aplikacji. Później mogą modyfikować warunki subskrypcji bez zmiany aspektów technicznych aplikacji.

Aplikacje eksploatacyjne nadużywają modeli subskrypcji Storefront

Google i Apple udostępniają programistom mechanizmy umożliwiające zakupy w aplikacji, w tym opłaty jednorazowe i cykliczne. Firmy te otrzymują procent płatności pobieranych przez aplikacje w swoich sklepach z aplikacjami.

Na przykład aplikację na Androida „Open Chat GBT” można było pobrać bezpłatnie, ale bombardowała ona użytkowników nadmiernymi reklamami. Użytkownicy mieli tylko trzy interakcje z chatbotem, zanim zostali poproszeni o subskrypcję. Domyślnie użytkownicy mogli wybrać trzydniowy bezpłatny okres próbny, po którym subskrypcja kosztowałaby 10 USD miesięcznie. Inną opcją była roczna subskrypcja za 30 USD. Naukowcy znaleźli również podobną aplikację o innej nazwie, ale od tego samego programisty w App Store na iOS.

Badacze Sophos zgłosili Apple i Google niektóre fałszywe aplikacje chatbotów AI, co doprowadziło do usunięcia niektórych aplikacji. Jednak niektóre aplikacje pozostały dostępne nawet po oflagowaniu. Apple i Google potwierdziły zgłoszenia, ale nie odpowiedziały natychmiast na prośby o komentarz.

Naukowcy podejrzewają, że niektóre z tych aplikacji wykorzystują API OpenAI ChatGPT 3 do generowania treści, podczas gdy inne wykorzystują funkcje chatbota niższej jakości. Zamiast ograniczać liczbę zapytań, niektóre aplikacje skracają odpowiedzi i udostępniają użytkownikom tylko fragment kodu, dopóki nie wykupią subskrypcji.

Jednym z istotnych problemów związanych z oprogramowaniem typu fleeceware, jak podkreślił Gallagher, starszy badacz zagrożeń w firmie Sophos, jest to, że użytkownikom często brakuje wiedzy na temat zarządzania swoimi subskrypcjami. Mogą nie zdawać sobie sprawy, że nawet po usunięciu aplikacji cykliczne płatności za usługę będą kontynuowane.