Una nuova truffa corre veloce sugli app store dei dispositivi. Ad illustrare i rischi di sicurezza è Sophos, agenzia di cybersicurezza as-a-service che nel suo ultimo report ha individuato diverse app che si fingono chatbot basati su ChatGPT. Lo scopo? Incassare una grande quantità di denaro estorta agli utenti.
I fleeceware: sfruttare le tendenze per guadagnare
Le app, presenti sia su App Store (con buona pace della sicurezza annunciata da Apple), sia su Play Store, presentano versioni gratuite prive di funzionalità, con molti annunci pubblicitari che inducono gli utenti ad attivare abbonamenti dal costo di svariate centinaia di euro annui. Sean Gallagher, Principal Threat Researcher di Sophos, ha spiegato che ChatGPT è solo l’ultima delle tendenze tecnologiche sfruttate dai truffatori per riempirsi le tasche.
Questi software truffaldini sono stati definiti da Sophos “fleeceware“. Le funzionalità offerte sono limitate, ma sono piene di annunci pubblicitari che cercano di indurre gli utenti a stipulare un abbonamento. Gli sviluppatori delle applicazioni fanno affidamento sulla possibilità che gli utenti non facciano attenzione ai costi, o che si dimentichino dell’abbonamento sottoscritto. Le app sono progettate in modo che al termine del periodo di prova gratuita in modo che, una volta cancellate, ci si dimentichi dell’addebito mensile o settimanale.
Le app incriminate e i guadagni da capogiro
Sophos X-Ops ha preso in analisi cinque fleeceware che utilizzano queste modalità. Tutti venivano spacciati per essere basati su ChatGPT. Tra queste, Chat GBT, nome utilizzato per scalare le posizioni in classifica degli app store, grazie alla somiglianza con il nome originale. Le funzionalità base del chatbot di OpenAI sono offerte gratuitamente, mentre l’applicazione richiede fino a 10 dollari al mese o 70 dollari l’anno. C’è anche una versione per iOS di Chat GBT, chiamata Ask AI Assistant, che addebita ben 6 dollari a settimana, per un totale di 312 dollari l’anno. Il periodo di prova gratuita dura tre giorni. Gli sviluppatori hanno guadagnato nel solo mese di marzo ben 10.000 dollari. Niente in confronto a Genie, ennesima app di questo tipo, che il mese scorso ha ottenuto la cifra di 1 milione di dollari.
Come riconoscere un fleeceware
Per riconoscere un fleeceware basta verificare che non sia stato emesso un addebito di costi esagerati per funzionalità reperibili gratuitamente. Anche l’impiego di tattiche ingannevoli e di social engineering sono utilizzati per convincere a sottoscrivere un contratto con abbonamenti a pagamento. Il periodo di prova gratuita è sempre uno specchio per le allodole, ma la pubblicità insistente e le restrizioni molto limitanti rendono le app inutilizzabili se non con la sottoscrizione di un abbonamento, che risulterà comunque poco più efficiente della versione gratuita.
Le app sono già state segnalate e alcune rimosse, ma altre continuano a comparire e sarà un trend probabilmente in crescita. La miglior protezione, dichiara Sophos, è la sensibilizzazione, inoltre è sempre bene leggere e comprendere le clausole per non avere brutte sorprese. Gli utenti inoltre possono sempre segnalare le app di questo tipo. Chi ha già questo tipo di app, può sempre contattare o seguire le linee guida del proprio app store per terminare gli abbonamenti. Disinstallare l’app non è sufficiente a terminare l’abbonamento in corso.
Perché non vengono respinte?
Le app fleeceware sono progettate apposta per restare al limite di quanto consentito dai termini di Google e Apple. In questo modo non possono violare le regole di sicurezza o di privacy e per questo motivo non vengono respinte in fase di verifica. Entrambi i brand hanno implementato delle linee guida per contrastare questo tipo di software, ma gli sviluppatori trovano sempre un modo di aggirare le policy.
Leave a Reply