I ricercatori di Sophos hanno scoperto diverse app che si fingono chatbot legittimi basati su ChatGPT per incassare migliaia di dollari ogni mese facendo pagare somme elevate agli utenti: ribattezzate “fleeceware”, queste app sfruttano le scappatoie presenti nelle policy degli app store e impiegano tattiche coercitive per addebitare costi esagerati agli utilizzatori di assistenti basati su AI.
Apparse sia all’interno di Google Play che di Apple App Store, queste app sono versioni gratuite praticamente prive di funzionalità che mostrano costantemente annunci pubblicitari spingendo gli utenti ad attivare abbonamenti che possono arrivare a costare centinaia di dollari all’anno.
Sophos X-Ops ha analizzato cinque di questi fleeceware, ognuno dei quali sosteneva di essere basato sull’algoritmo di ChatGPT. In alcuni casi, come con la app “Chat GBT”, gli autori hanno fatto leva sul nome ChatGPT per migliorare il posizionamento della app stessa sui vari app store. Mentre OpenAI propone online le funzionalità base di ChatGPT gratuitamente, queste app addebitano da 10 dollari al mese fino a 70 dollari all’anno. La versione iOS di “Chat GBT”, chiamata Ask AI Assistant, addebita 6 dollari alla settimana (312 dollari all’anno) dopo un periodo di prova gratuita di tre giorni facendo guadagnare ai suoi sviluppatori 10.000 dollari nel solo mese di marzo. Genie, un’altra app di questo tipo, spinge gli utenti ad attivare un abbonamento da 7 dollari alla settimana o 70 dollari all’anno, totalizzando nello scorso mese ricavi per ben 1 milione di dollari.
Gli esperti di Sophos hanno rilevato per la prima volta nel 2019 le principali caratteristiche del fleeceware: l’addebito di costi esagerati per funzionalità che si possono ritrovare gratuitamente altrove, e l’impiego di tattiche ingannevoli e di social engineering per convincere le persone ad attivare abbonamenti a pagamento.
Solitamente queste app offrono un periodo di prova gratuita, ma con così tante pubblicità e restrizioni da essere quasi inutilizzabili a meno di non pagare un abbonamento. Sono app scritte e implementate in modo carente, il che significa che le loro funzionalità sono meno che soddisfacenti anche nella versione a pagamento. Gli autori ne gonfiano le valutazioni all’interno degli app store attraverso recensioni fasulle e richieste insistenti agli utenti affinché valutino la app prima ancora che venga utilizzata o che finisca il periodo di prova gratuita.
Tutte le app citate nel report di Sophos intitolato “’FleeceGPT” Mobile Apps Target AI-Curious to Rake in Cash”, sono state segnalate ad Apple e Google. Gli esperti spiegano che gli utenti che le avessero già scaricate possono seguire le linee guida previste dai rispettivi app store per terminare gli abbonamenti e che limitarsi a cancellare una app non ne interrompe l’abbonamento eventualmente in corso.
«I truffatori hanno sempre sfruttato e sempre sfrutteranno le ultime tendenze tecnologiche per riempirsi le tasche. ChatGPT non fa eccezione. Considerato l’altissimo interesse che circonda oggi AI e chatbot, gli utenti vanno su Apple App Store e su Google Play per scaricare qualsiasi cosa possa assomigliare a ChatGPT. Queste app fasulle, che Sophos ha ribattezzato “fleeceware”, spesso bombardano di annunci pubblicitari gli utenti finché questi non stipulano un abbonamento, facendo affidamento sul fatto che le persone non prestano attenzione ai costi o che finiscono per dimenticarsi dell’abbonamento in corso. Le app sono progettate in modo tale che il loro utilizzo risulti estremamente limitato così che, al termine del periodo di prova gratuita, gli utenti le cancellino senza rendersi conto di essere ancora vincolati a un addebito mensile o settimanale», ha dichiarato Sean Gallagher, Principal Threat Researcher di Sophos.
«Il fleeceware è composto da app progettate apposta per restare al limite di quanto consentito dai termini di servizio Google e Apple senza violare le regole di sicurezza o di privacy: per questo vengono difficilmente respinte dagli app store in fase di verifica. Anche se Google e Apple hanno implementato nuove linee guida per contrastare il fleeceware da quando abbiamo iniziato a segnalarne la presenza nel 2019, gli sviluppatori trovano sempre nuovi modi di aggirare le policy, ad esempio limitando fortemente l’utilizzo e le funzionalità a meno che non si paghi un abbonamento. Anche se alcuni fleeceware ispirati a ChatGPT analizzati in questo report sono già stati rimossi, molti altri continuano a comparire e probabilmente sarà un trend in crescita. La miglior protezione in questo caso è la sensibilizzazione. Gli utenti devono essere consapevoli dell’esistenza di queste app ed essere sempre attenti a leggere le clausole prima di premere il pulsante “abbonati”. Gli utenti possono anche segnalare le app ad Apple e Google se pensano che gli autori stiano utilizzando metodi non etici per guadagnare», conclude Gallagher.