Líder global em inovação e entrega de cibersegurança como serviço, a Sophos, anunciou que descobriu diversos aplicativos que se disfarçam de chatbots baseados no ChatGPT para cobrar excessivamente de usuários e arrecadar milhares de dólares por mês. Conforme detalhado no último relatório do time integrado de respostas a ameaças da companhia, o Sophos X-Ops, intitulado “FleeceGPT’ Mobile Apps Target AI-Curious to Rake in Cash”, esses programas apareceram tanto no Google Play quanto na Apple App Store e, como as versões gratuitas têm funcionalidades quase nulas e anúncios constantes, eles coagem usuários desavisados a se inscreverem para uma assinatura que pode custar centenas de dólares por ano.
“Os golpistas sempre usaram e continuarão a usar as últimas tendências ou tecnologias para encher seus bolsos – e o ChatGPT não é exceção. Interessados em IA e chatbots em alta, os usuários estão recorrendo a lojas da Apple App Store e Google Play para baixar qualquer coisa que se assemelhe ao ChatGPT. Esses programas fraudulentos – que a Sophos apelidou de ‘Fleecewares’ – geralmente bombardeiam as pessoas com anúncios até que elas se inscrevam nos aplicativos. Eles apostam no fato de que os usuários não prestarão atenção ao custo ou simplesmente esquecerão que têm essa assinatura. Além disso, eles são projetados especificamente para que não sejam muito usados após o término da avaliação gratuita, de forma que o público o exclua sem perceber que ainda está sujeito a um pagamento mensal ou semanal”, afirma Sean Gallagher, principal pesquisador de ameaças da Sophos.
No total, o Sophos X-Ops investigou cinco desses aplicativos de Fleeceware, todos eles alegando serem baseados no algoritmo do ChatGPT. Em alguns casos, como no do “ChatGBT”, os desenvolvedores usaram esse nome para melhorar a classificação do app no Google Play ou na App Store. Embora a OpenAI ofereça a funcionalidade básica do ChatGPT aos usuários gratuitamente online, essas ferramentas estavam cobrando valores que variavam de US$10 por mês a US$70 por ano. A versão para iOS do “ChatGBT”, chamada Ask AI Assistant, cobra US$6 por semana – ou US$312 por ano – após o teste gratuito de três dias, rendendo aos desenvolvedores US$10 mil somente em março. Outro aplicativo do tipo Fleeceware, chamado Genie, incentiva os usuários a se inscreverem para uma assinatura semanal de US$7 ou anual de US$70 e rendeu US$1 milhão no último mês.
As principais características dos aplicativos Fleeceware, descobertos primeiramente pela Sophos em 2019, são a cobrança excessiva dos usuários por funcionalidades que já são gratuitas em outros lugares, bem como o uso de engenharia social e táticas coercitivas para convencer os clientes a se inscreverem para um pagamento de assinatura recorrente. Normalmente, os apps oferecem uma avaliação gratuita, porém têm diversos anúncios e restrições, podendo ser usados somente quando a assinatura é paga. Os programas também trazem informações mal escritas e implementadas, o que significa que sua função geralmente não é a ideal, mesmo depois que os usuários mudam para a versão paga. Eles ainda aumentam suas classificações nas lojas de aplicativos por meio de avaliações falsas e solicitações persistentes para que os usuários os avaliem antes mesmo de serem usados ou do período gratuito terminar.
“Os aplicativos Fleeceware são projetados especificamente para ficar no limite do que é permitido pelo Google e pela Apple em termos de serviço e não desrespeitam as regras de segurança ou privacidade, por isso quase nunca são rejeitados por essas lojas durante a análise. Embora o Google e a Apple tenham implementado novas diretrizes para restringir o Fleeceware desde que os informamos sobre esses casos em 2019, desenvolvedores maliciosos estão encontrando maneiras de contornar essas políticas, como limitar severamente o uso e a funcionalidade do app, a menos que os usuários paguem. Enquanto alguns dos programas de Fleeceware do ChatGPT incluídos neste relatório já foram retirados do ar, outros continuam ativos – e é provável que novos ainda surjam. A melhor proteção é a educação. Os usuários precisam estar cientes da existência desses golpes e sempre ler as letras miúdas quando clicarem em “assinar”. Além disso, os consumidores podem denunciá-los à Apple e ao Google se acharem que os proprietários estão usando meios antiéticos para lucrar”, diz Gallagher.
Todos os aplicativos incluídos no relatório foram informados à Apple e ao Google. Os usuários que já fizeram o download devem seguir as diretrizes da Apple App Store ou do Google Play sobre como “cancelar a assinatura”. A simples exclusão do app Fleeceware não anulará a assinatura.