Gli attaccanti seguono le ultime tendenze tecnologiche per catturare la curiosità delle loro vittime. Questa volta Sophos, specialista globale nell’innovazione e nell’erogazione della cybersicurezza as-a-service, annuncia di aver scoperto diverse app fasulle che si fingono chatbot legittimi basati su ChatGPT per incassare migliaia di dollari ogni mese facendo pagare somme elevate agli utenti.
Come spiega l’ultimo report di Sophos X-Ops dal titolo “’FleeceGPT” Mobile Apps Target AI-Curious to Rake in Cash”, queste app fasulle sono comparse sia all’interno di Google Play che di Apple App Store. In particolare, si tratta di versioni gratuite che sono praticamente prive di funzionalità e che mostrano costantemente annunci pubblicitari spingendo gli utenti ad attivare abbonamenti che possono arrivare a costare centinaia di dollari all’anno.
App fasulle: Sophos presenta le “fleeceware”
“I truffatori hanno sempre sfruttato e sempre sfrutteranno le ultime tendenze tecnologiche per riempirsi le tasche. ChatGPT non fa eccezione. Considerato l’altissimo interesse che circonda oggi AI e chatbot, gli utenti vanno su Apple App Store e su Google Play per scaricare qualsiasi cosa possa assomigliare a ChatGPT. Queste app fasulle, che Sophos ha ribattezzato “fleeceware”, spesso bombardano di annunci pubblicitari gli utenti finché questi non stipulano un abbonamento, facendo affidamento sul fatto che le persone non prestano attenzione ai costi o che finiscono per dimenticarsi dell’abbonamento in corso. Le app sono progettate in modo tale che il loro utilizzo risulti estremamente limitato così che, al termine del periodo di prova gratuita, gli utenti le cancellino senza rendersi conto di essere ancora vincolati a un addebito mensile o settimanale”, dichiara Sean Gallagher, Principal Threat Researcher di Sophos.
Alcune app fasulle ChatGPT analizzate da Sophos X-Ops
Sophos X-Ops ha analizzato complessivamente cinque di questi fleeceware, ognuno dei quali sosteneva di essere basato sull’algoritmo di ChatGPT. In alcuni casi, come con la app “Chat GBT”, gli autori hanno giocato sul nome ChatGPT per migliorare il posizionamento della app stessa sui vari app store. Mentre OpenAI propone online le funzionalità base di ChatGPT gratuitamente, queste app addebitano da 10 dollari al mese fino a 70 dollari all’anno. La versione iOS di “Chat GBT”, chiamata Ask AI Assistant, addebita 6 dollari alla settimana (312 dollari all’anno) dopo un periodo di prova gratuita di tre giorni facendo guadagnare ai suoi sviluppatori 10.000 dollari nel solo mese di marzo. Un’altra di queste app fasulle, Genie, che spinge gli utenti ad attivare un abbonamento da 7 dollari alla settimana o 70 dollari all’anno, ha totalizzato nello scorso mese ricavi per ben 1 milione di dollari.
Come funziona il fleeceware?
Le principali caratteristiche del fleeceware, rilevato per la prima volta da Sophos nel 2019, sono l’addebito di costi esagerati per funzionalità che si possono ritrovare gratuitamente altrove, e l’impiego di tattiche ingannevoli e di social engineering per convincere le persone ad attivare abbonamenti a pagamento. Di solito queste app offrono un periodo di prova gratuita, ma con così tante pubblicità e restrizioni da essere pressoché inutilizzabili a meno di non pagare un abbonamento. Sono app scritte e implementate in modo carente, il che significa che le loro funzionalità sono meno che soddisfacenti anche nella versione a pagamento. Gli autori ne gonfiano le valutazioni all’interno degli app store attraverso recensioni fasulle e richieste insistenti agli utenti affinché valutino la app prima ancora che venga utilizzata o che finisca il periodo di prova gratuita.
Tutte le app fasulle citate nel report sono state segnalate ad Apple e Google. Gli utenti che le avessero già scaricate possono seguire le linee guida previste dai rispettivi app store per terminare gli abbonamenti. Limitarsi a cancellare una app non ne interrompe l’abbonamento eventualmente in corso.
