신종 악성코드 '랫온', $BTC·$ETH 지갑 정조준... 메타마스크·트러스트 월렛 사용자 보안 경고

서도윤 기자

2025.09.10 (수) 00:51

리모트 액세스 트로이목마 '랫온'이 안드로이드 기반 암호화폐 지갑 사용자 노리며 피해 확산 중이다. 메타마스크·트러스트 월렛·팬텀 등 주요 지갑 앱에 자동 침투해 시드 구문 탈취 가능성이 제기됐다.

신종 악성코드 '랫온', $BTC·$ETH 지갑 정조준... 메타마스크·트러스트 월렛 사용자 보안 경고 / TokenPost.ai

안드로이드 기반 스마트폰 사용자를 겨냥한 신종 악성코드가 발견되면서 메타마스크(MetaMask), 트러스트 월렛(Trust Wallet), 팬텀(Phantom), 블록체인닷컴(Blockchain.com) 등 주요 암호화폐 지갑의 보안에 비상이 걸렸다. 네덜란드 보안업체 트렛패브릭(ThreatFabric)의 최근 보고서에 따르면, 이 악성코드는 ‘랫온(RatOn)’이라는 이름의 고도화된 리모트 액세스 트로이목마(RAT)로, 감염된 스마트폰을 원격에서 통제해 암호화폐 지갑을 탈취할 수 있는 기능을 갖췄다.

랫온은 기존 은행 트로이목마의 공격 방식을 결합해 더욱 치명적인 형태로 진화했다. 지난 6월 처음 탐지된 이후 8월에 들어 활동이 급증하며 피해가 확산되고 있다. 영어 외에도 체코어, 슬로바키아어 등 다국어를 지원하고, 다중 백신 프로그램에도 잘 탐지되지 않아 보안상의 허점을 악용하고 있다는 점이 특징이다.

특히 이번 악성코드는 암호화폐 지갑 앱을 자동으로 실행시키고, 키 입력 로깅 또는 오버레이 기법으로 취득한 PIN코드를 활용해 사용자의 비밀번호를 입력한 뒤 앱의 UI를 조작해 시드 구문(복구 암호)을 노출시킨다. 복구 구문이 탈취될 경우 지갑의 소유권 자체를 공격자가 가질 수 있어, 사용자의 모든 자산이 순식간에 사라질 위험이 있다.

트렛패브릭 측은 "랫온은 단순한 피싱이나 소셜 엔지니어링 공격을 넘어 자동화된 탈취 시나리오를 구동할 수 있는 수준까지 발전했다"고 경고했다. 일반적인 사용자 입장에서는 감염 여부 파악조차 어려워, 신규 안드로이드 기기나 지갑 설치 시 각별한 주의가 요구된다.

2019년부터 지금까지 대다수 보안 공격이 크롬 확장 프로그램이나 이메일 피싱을 통해 이뤄진 것에 비해, 이번 사례는 모바일 기반 공격 벡터가 본격화되고 있다는 점에서 큰 의미를 지닌다. 전문가들은 특히 구글 플레이 스토어 외부에서 앱을 다운로드하지 말고, 최신 보안 패치를 적용하며, 2단계 인증을 꼭 설정하는 등 기본적인 보안 수칙을 철저히 지켜야 한다고 강조했다.

암호화폐 사용자가 늘어날수록 해커들의 공격 방식도 지능화되고 있으며, 최근에는 트럼프의 NFT 프로젝트조차 애드웨어 설치 링크를 통해 공격받은 전례가 있는 만큼, 모든 사용자들은 자산 관리의 책임 또한 스스로 져야 하는 시대에 돌입했다는 분석이 나온다.

뉴스를 실시간으로...토큰포스트 텔레그램 가기

광고문의 기사제보 보도자료

#암호화폐보안 #메타마스크 #모바일멀웨어 #트러스트월렛 #팬텀 #블록체인닷컴 #랫온