Hacker verdienen mit Fleeceware-Apps Tausende von Dollar. Ein Sophos-Report deckt Abzocke durch ChatGPT-Imitationen auf. Die Betrugs-Apps profitieren mit teils horrenden Abo-Gebühren vom Hype. |
Interest in OpenAI’s latest version of ChatGPT has spurred a new wave of scam apps looking to cash in on the hype, says a Sophos report written by Jagadeesh Chandraiah and Sean Gallagher, MAY 17, 2023. |
---|---|
Hype lockt Betrüger an. Sophos X-Ops hat verschiedene Apps in den offiziellen Stores von Apple und Google aufgedeckt, die sich als legitime, ChatGPT-basierte Chatbots ausgeben, Nutzer mit verschleierten, oftmals enorm hohen Gebühren abzocken und den Betrügern so monatlich Tausende von Dollar in die Tasche spülen. Der Report „FleeceGPT Mobile Apps Target AI-Curious to Rake in Cash” deckt die Machenschaften dieser sogenannten „Fleeceware“-Programme auf, bei der Nutzer mit nahezu null Funktionalität sowie ständigen Werbeeinblendungen in kostenlosen Testvarianten zu einem kostenpflichtigen Abo getrieben werden sollen. Zudem steigern die Betrüger die Attraktivität ihre Apps durch gefälschte Bewertungen und ständige Aufforderungen der Nutzer, die App zu bewerten, bevor sie überhaupt verwendet wird oder die kostenlose Testversion endet.
„Betrüger haben und werden immer die neuesten Trends oder Technologien nutzen, um ihre Taschen zu füllen. ChatGPT ist da keine Ausnahme. Da das Interesse an KI und Chatbots zurzeit extrem groß ist, laden Benutzer aktuell nahezu alles sehr unreflektiert herunter, das ChatGPT ähnelt – ein Verhalten, dass den Entwicklern dieser Art von Betrugs-Apps, Sophos nennt sie „Fleeceware“, natürlich in die Karten spielt. Sie gehen davon aus, dass die Nutzer nicht auf die Kosten achten oder einfach vergessen, dass sie ein Abonnement abgeschlossen haben. Die Fleeceware-Apps sind speziell so konzipiert, dass sie nach Ablauf der kostenlosen Testversion kaum noch oder gar nicht mehr genutzt werden können. Das ist besonders heimtückisch, da selbst beim Löschen der App die Abozahlungen oftmals weiterlaufen. Nutzer, die auf Fleeceware-Apps hereingefallen sind, sollten deshalb auf jeden Fall die Richtlinien der App-Stores von Apple und Google zum offiziellen Abmelden befolgen,“ so Sean Gallagher, Principal Threat Researcher bei Sophos. Das Original ist in der Grundversion kostenlos, die Fakes hingegen bitten sofort zur Kasse Im aktuellen Report untersuchte Sophos X-Ops fünf Fleeceware-Apps, die alle angeblich auf dem ChatGPT-Algorithmus basieren, näher. In einigen Fällen, wie bei der App „Chat GBT“, nutzen die Entwickler die Namensähnlichkeit zum Original aus, um das Ranking ihrer App im Google Play oder App Store zu verbessern. Während OpenAI allerdings den Nutzern die Grundfunktionalität von ChatGPT kostenlos zur Verfügung stellt, kosten diese Apps zwischen 10 US-Dollar pro Monat und 70,00 US-Dollar pro Jahr – und das ohne jeglichen Mehrwert. Die iOS-Version von „Chat GBT“, genannt „Ask AI Assistant“, kostet nach der dreitägigen, kostenlosen Testversion 6 US-Dollar pro Woche – oder 312 US-Dollar pro Jahr – und spülte den Machern allein im März über 10.000 US-Dollar in die Kassen; trotz zahlreicher negativer Bewertungen. Die genaue Analyse dieser und aller anderen betrügerischen Apps kann im Report „FleeceGPT Mobile Apps Target AI-Curious to Rake in Cash” nachgelesen werden. „Fleeceware-Apps sind speziell darauf ausgelegt, in puncto Service am Rande der von Google und Apple erlaubten Möglichkeiten zu bleiben, und sie verstoßen nicht gegen die Sicherheits- oder Datenschutzbestimmungen, sodass sie von diesen Stores bei der Überprüfung nur sehr selten abgelehnt werden“, so Gallagher. „Während Google und Apple neue Richtlinien zur Eindämmung von Fleeceware eingeführt haben, seit wir 2019 über solche Apps berichtet haben, finden Entwickler immer wieder Möglichkeiten, diese Richtlinien zu umgehen, indem sie beispielsweise die Nutzung und Funktionalität von Apps stark einschränken, sofern die Benutzer nicht zahlen. Trotz der Löschung einiger aktueller Betrugs-Apps ist davon auszugehen, dass immer wieder neue auftauchen. Der beste Schutz ist deshalb Aufklärung. Benutzer müssen sich darüber im Klaren sein, dass diese Art von betrügerischen Apps existiert und immer das Kleingedruckte lesen, bevor sie auf Abonnieren klicken. Zudem sollten Benutzer Apps an Apple und Google melden, wenn sie der Meinung sind, dass die Entwickler unethische Mittel einsetzen, um Profit zu machen.“ Alle im Bericht erwähnten Apps wurden gemeldet, Google hat einen Teil der Apps auf seiner Plattform zum Zeitpunkt des Blogbeitrags gelöscht, Apple hat den Eingang der Information bestätigt. Benutzer, die diese Apps bereits heruntergeladen haben, sollten die Richtlinien des Apple-App- oder Google-Play-Stores zum „Abmelden“ befolgen. Durch einfaches Löschen der Fleeceware-App erlischt das Abonnement nicht immer automatisch. |
OpenAI’s ChatGPT, the large-language-model-powered artificial intelligence application, has dominated technology media coverage and permeated popular culture. Hoping to cash in on curiosity about ChatGPT, Sophos has seen a spike in mobile apps claiming connection to the AI platform that fall into a category Sophos refers to as “fleeceware,” apps that have behaviors similar to these:
Both Apple and Google have store guidelines intended to prevent app fraud, and these guidelines have evolved in response to earlier generations of fleeceware. When Sophos first wrote about fleeceware back in 2020, some of these apps were charging more than $200 per month. New app store policies were intended to curb this; for example, developers have to be upfront about their subscription fees, and have to allow users to cancel free trials before incurring any charges. Since then Sophos has seen fleeceware evolve to circumvent those policies. In addition to repeated prompts to subscribe users, ranging from $9.99 to $69.99 on the apps, they also use tactics such as tightly limiting app usage and functionality without a subscription. Because fleeceware applications are designed to stay on the edge of Apple and Google terms of service and do not access private information or attempt to circumvent platform security, they are rarely rejected during review and are allowed into the app stores. And these apps not only generate cash for the underhanded developers, but also enrich the platform owners through their cuts of app store sales—in the case of Apple, that’s 30% in the first year and 15% from the second year. As a result, there’s little financial incentive for Apple or Google to remove them despite their near-zero functionality and abuse of stores’ reviews systems to artificially boost their credibility. Using a combination of advertising within and outside of the app stores and fake reviews that game the rating systems of the stores, the developers of these misleading apps are able to lure unsuspecting device users into downloading them, often with “free trial” versions that then kick in automatic recurring subscription fees that users may not know are coming, or prompt them to buy subscription to “pro” versions that promise greater functionality but fail to deliver. The prime characteristics that make an app “fleeceware” are charging for functionality that is already free elsewhere, and the use of social engineering or coercive features to get users to sign up for a subscription to generate regular cash flow, as opposed to paying a one-time charge. While OpenAI offers an API for GPT and ChatGPT to developers at a rate that amounts to about $0.06 US for every 750 words of output, and has offered a $20-a-month “pro” subscription to the latest ChatGPT (which guarantees availability during peak usage and provides early access to new functionality), the basic functionality of ChatGPT is available freely to users through OpenAI’s website. All of the apps were offered as free (with little or no mention of subscriptions required to unlock basic functionality), had aggressive monetization tactics, and came with default subscription rates that were in many cases not in line with the functionality they provided. Sophos has reported the apps found to Google and Apple. Some were pulled from the store before Sophos could report them. Google has responded and removed some of the apps Sophos found, and Apple has acknowledged the input of Sophos on the apps though no action has been taken at this time. Sophos also reported ads for these apps on platforms where it found them. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de