Les chercheurs en sécurité de Sophos ont récemment mis au jour une série d'applications se faisant passer pour des chatbots légitimes basés sur ChatGPT, avec pour objectif de surfacturer les utilisateurs et de leur dérober des milliers de dollars chaque mois. Ces applications frauduleuses ont été repérées à la fois sur Google Play et sur l'App Store. Selon le dernier rapport de Sophos X-Ops, intitulé "FleeceGP Mobile Apps Target IA-Curious to Rake in Cash", ces applications se présentent comme des versions gratuites de chatbots reposant sur l'intelligence artificielle. Cependant, ces versions gratuites offrent peu de fonctionnalités réelles et sont inondées de publicités, incitant ainsi les utilisateurs à souscrire un abonnement payant pour accéder à des services supposément plus avancés. Des abonnements qui peuvent coûter plusieurs centaines de dollars par an.

Les chercheurs de Sophos, dont Sean Gallagher, chercheur principal, soulignent que les escrocs exploitent toujours les dernières tendances et technologies pour s'enrichir. Ils profitent actuellement de la ruée sur les plugins et les applis de chatbot et d'intelligence artificielle, principalement les applications liées à ChatGPT. Ces applications malveillantes, baptisées "fleecewares" par Sophos, s'avèrent être de véritables arnaques qui matraquent les utilisateurs de publicités jusqu'à ce qu'ils souscrivent un abonnement payant.  

De 10 dollars mensuels à 70 dollars par an par abonnement

Les auteurs de ces applications comptent sur le fait que les utilisateurs ne feront pas attention aux coûts ou oublieront simplement qu'ils ont souscrit un abonnement. De plus, ces applications sont conçues pour être pratiquement inutiles une fois la période d'essai gratuite terminée, ce qui fait que les utilisateurs les suppriment sans se rendre compte qu'ils sont toujours engagés pour un paiement mensuel ou hebdomadaire.

Sophos X-Ops a étudié cinq de ces "fleecewares" prétendant utiliser l'algorithme de ChatGPT. Par exemple, l'application "Chat GBT" joue sur la similarité de son nom avec ChatGPT pour améliorer son classement dans Google Play et l'App Store. Alors qu'OpenAI propose gratuitement les fonctions de base de ChatGPT, ces applications facturent aux utilisateurs des frais allant de 10 dollars par mois à 70 dollars par an. La version iOS de "Chat GBT", appelée Ask AI Assistant, facture quant à elle 6 $ par semaine (soit 312 $ par an) après une période d'essai gratuite de trois jours. Rien qu'au cours du mois de mars, cette application a généré 10 000 $ de revenus pour ses auteurs. Un autre "fleeceware" appelé Genie incite les utilisateurs à s'abonner pour 7 $ par semaine ou 70 $ par an, lui rapportant ainsi 1 million de dollars le mois dernier.

Ces "fleecewares", initialement découverts par Sophos en 2019, se caractérisent par leur tendance à surfacturer les utilisateurs pour des fonctionnalités déjà disponibles gratuitement ailleurs. Ils utilisent également des tactiques d'ingénierie sociale et de coercition pour convaincre les utilisateurs de souscrire un abonnement payant. Ces applications proposent généralement une période d'essai gratuite, mais celle-ci est accompagnée d'un grand nombre de publicités et de restrictions, ce qui les rend peu utiles sans abonnement.

De plus, ces applications sont souvent de qualité médiocre, ce qui signifie que même dans leur version payante, elles n'offrent pas une expérience idéale. Pour améliorer artificiellement leur évaluation sur les boutiques d'applications, elles utilisent de faux avis et demandent aux utilisateurs de les noter avant même de les avoir utilisées ou d'avoir terminé l'essai gratuit.  

La meilleure protection réside dans la sensibilisation des utilisateurs

Les "fleecewares" sont conçus pour rester dans les limites des règles de sécurité et de protection de la vie privée établies par Google et Apple, évitant ainsi d'être bannis des boutiques en ligne. Bien que Google et Apple aient mis en place de nouvelles règles pour lutter contre ces escroqueries depuis le signalement de Sophos en 2019, les développeurs trouvent toujours des moyens de les contourner, notamment en limitant sévèrement les fonctionnalités des versions gratuites. Les chercheurs de Sophos soulignent que bien que certaines des applications "fleecewares" liées à ChatGPT étudiées dans ce rapport aient été neutralisées, d'autres continuent d'apparaître et cette tendance devrait se poursuivre.

La meilleure protection réside dans la sensibilisation des utilisateurs. Il est important de prendre conscience de l'existence de ces applications et de lire attentivement les termes et conditions avant de souscrire un abonnement. De plus, les utilisateurs peuvent signaler à Apple et à Google les applications suspectes.

Sophos a signalé toutes les applications mentionnées dans cette étude à Apple et à Google. Les utilisateurs qui ont déjà téléchargé ces applications doivent suivre les instructions fournies par l'App Store ou Google Play pour se désabonner, car la simple suppression de l'application ne résilie pas l'abonnement.