Falska ChatGPT-appar Scam Android-användare

Säkerhetsexperter från Sophos har tagit upp en varning för en ny form av bedrägeri som infiltrerar Google Play och Apples App Store. Dessa bedrägliga appar hävdar att de ger tillgång till OpenAI:s chatbottjänst, ChatGPT, genom gratis provperioder men börjar så småningom ta ut prenumerationsavgifter.

Även om OpenAI erbjuder betalversioner av GPT och ChatGPT för vanliga användare och utvecklare, kan AI-chatboten provas gratis på OpenAI:s webbplats. Bedragarna bakom dessa appar drar fördel av individer som är intresserade av den nya tekniken men saknar kunskapen att prova den själva. Forskarna upptäckte först dessa bluffappar genom annonser i nyhetsappar och sociala nätverk, men användare kan också stöta på dem när de sökte på Google Play och App Store.

Bedragarna använder taktik som stavfel i appnamnen för att rikta in sig på mindre teknikkunniga användare och undvika de som skulle avbryta den kostnadsfria testperioden på grund av missnöje. Dessa bedrägerier faller under kategorin "fleeceware". Svårigheten med att bekämpa dessa appar ligger i det faktum att de inte uppvisar ett öppet skadligt beteende, vilket gör det utmanande för dem att identifieras som explicit skadlig programvara. När de skickar in dessa appar till Apple och Google för granskning kan det hända att bedragare inte helt avslöjar prenumerationsprisuppgifterna eller när användare kommer att behöva betala för att fortsätta använda appen. Senare kan de ändra prenumerationsvillkoren utan att ändra appens tekniska aspekter.

Exploaterande appar Abuse Storefront-prenumerationsmodeller

Google och Apple tillhandahåller mekanismer för utvecklare att erbjuda köp i appar, inklusive engångsavgifter och återkommande avgifter. Dessa företag får en procentandel av betalningarna som samlas in av appar i sina respektive appbutiker.

Till exempel kunde Android-appen "Open Chat GBT" laddas ner gratis men bombarderade användare med överdrivna annonser. Användare tilläts endast tre chatbot-interaktioner innan de uppmanades att prenumerera. Som standard kunde användare välja en tre dagars gratis provperiod, varefter prenumerationen skulle kosta $10 per månad. Ett annat alternativ var en årlig prenumeration på $30. Forskarna hittade också en liknande app med ett annat namn men från samma utvecklare i App Store för iOS.

Sophos-forskare rapporterade några av de falska AI-chatbot-apparna till Apple och Google, vilket ledde till att vissa appar togs bort. Vissa appar förblev dock tillgängliga även efter att de flaggats. Apple och Google erkände bidragen, men de svarade inte omedelbart på förfrågningar om kommentarer.

Forskarna misstänker att vissa av dessa appar använder OpenAI:s ChatGPT 3 API för att generera innehåll, medan andra använder chatbot-funktioner av lägre kvalitet. Istället för att begränsa antalet frågor, trunkerar vissa appar svar och ger användarna bara ett utdrag tills de prenumererar.

Ett viktigt problem med fleeceware, som framhållits av Gallagher, en senior hotforskare på Sophos, är att användare ofta saknar kunskap om att hantera sina prenumerationer. De kanske inte inser att även efter att ha raderat en app kommer de återkommande betalningarna för tjänsten att fortsätta.