El modelo de seguridad general es que los usuarios normales pueden agregar cualquier elemento de inicio a su dominio (biblioteca de usuario para ellos) y no para el sistema, por lo tanto, no permita que las personas tengan cuentas de administrador si no confía en que no ejecutarán el software ese instalador. elementos de inicio a nivel del sistema.

No hay una manera fácil de evitar que un usuario administrador cambie el sistema. Puede aplicar gatekeeper o aplicaciones firmadas, pero la mayoría de los usuarios administradores pueden omitir esa configuración, por lo que, en el mejor de los casos, ralentiza un poco a un usuario administrador sin educación.

Trabajos por usuario y en toda la computadora

En macOS, launchd puede administrar procesos en segundo plano por usuario y en toda la computadora.

Los trabajos por usuario existen dentro de su sesión de usuario. Comienzan y terminan con su inicio y cierre de sesión en la computadora. Si los trabajos tienen tickets de trabajo asociados, los encontrará con la carpeta ~/Library/LaunchAgentsy~/Library/LaunchDaemons

Los trabajos de toda la computadora comienzan y terminan con la computadora. Estos trabajos se almacenan en /Library/LaunchAgentsy /Library/LaunchDaemons.

Los trabajos de toda la computadora administrados por Apple se almacenan en /System/Library/LaunchAgentsy /System/Library/LaunchDaemons.

Los trabajos por usuario no necesitan permiso de superusuario. Por lo tanto, no necesitaba sudodetener los trabajos instalados a nivel de usuario por vox.app.

Deshabilitar un launchdtrabajo

Puede descargar un trabajo de lanzamiento para bloquear su retorno:

Uso:launchctl unload <service-path, service-path2, ...>

• -wAdemás, deshabilita el servicio de modo que futuras operaciones de carga darán como resultado un servicio que inicia un seguimiento pero que no puede iniciarse ni descubrirse de ninguna manera.
• -S <session>Solo descarga los servicios asociados a la sesión especificada.
• -D <domain>Descarga archivos launchd.plist(5) del dominio especificado. Consulte la discusión sobre este mismo indicador cuando se proporciona al subcomando de carga para obtener más detalles.

Esto -whace que la descarga se escriba en el disco y persista entre sesiones.

Para obtener más información sobre cómo detener, descargar y anular trabajos, consulte:

• Launchctl diferencia entre cargar y comenzar, descargar y detener
• Deshabilitar servicios en OSX (services.msc)
• launchctl - eliminar anulación habilitada/deshabilitada

El problema general se maneja en la respuesta de Graham Miln. Esta respuesta es solo una ligera adición ejercida sobre la aplicación de ejemplo dada:

Versión corta: macOS tiene algunos directorios especiales para este tipo de comportamiento. Esas son las rutas globales y de usuario/Biblioteca ya mencionadas en la respuesta de Graham. Pero una ruta menos visible y, por lo tanto, menos obvia se encuentra dentro de cada paquete de aplicaciones.

Algunas aplicaciones son demasiado inteligentes. Vox es un buen ejemplo de esto. Estos agentes no están bien explicados, pero a menudo se quejan y, por lo tanto, un programa, aplicación o software potencialmente no deseado (PUPAS)

Esta aplicación desencadena una cadena de eventos cuando se copia a /Aplicaciones y nuevamente cuando se inicia por primera vez.

Dentro del paquete del paquete hay elementos de inicio de sesión:

   /Volumes/VOX/VOX.app/Contents/Library/LoginItems
  ../Loop.app
  ../VOX Agent.app

Ambos son copiados/registrados por el propio DesktopServicesHelper del sistema como un "elemento de inicio de sesión del asistente de la aplicación". Este tipo de "ayudantes" a menudo también se encuentran en otras aplicaciones y, por lo general, simplemente se hinchan y agregan molestias. En primer lugar, es posible que se bloqueen preventivamente para que no se registren mediante pequeñas aplicaciones prácticas, como BlockBlock .

Como estos todavía están contenidos en el paquete de la aplicación , ¡debería buscar o proporcionar la ruta dentro del paquete de la aplicación!

Una búsqueda de programas/ayudantes lanzados automáticamente debe incluir /Aplicaciones y ~/¡Aplicaciones!

Luego se encuentra otra molestia dentro del paquete de aplicaciones :

 /Volumes/VOX/VOX.app/Contents/XPCServices 
 /Volumes/VOX/VOX.app/Contents/XPCServices/VOX\ Toolbox.xpc
 /Volumes/VOX/VOX.app/Contents/XPCServices/com.coppertino.Vox.GNTPClientService.xpc 

Una forma de deshabilitar estos procesos por usuario para que no lo molesten se describe en la respuesta de Graham, usando launchctl.
Solo necesita buscar dentro de /Aplicaciones también.
Otro método sería ir al paquete y simplemente eliminar estos elementos. – La mayoría de las veces, esas aplicaciones comienzan bien sin ellas, solo les falta la funcionalidad respectiva. Vox fue una vez un pequeño y agradable reproductor de música 'sin lujos'. Funciona para eso sin esas molestias presentes en el disco.
A veces, las aplicaciones mejor diseñadas le ofrecen una opción para evitar esas travesuras en su diálogo de preferencias.

Favorito personal: en el caso de la aplicación del ejemplo dado, sería mejor eliminar toda la aplicación.

Para responder directamente al título de la pregunta de

¿Por qué una aplicación puede crear demonios sobre la marcha sin el permiso sudo y cómo detenerlo?

Debido a que un usuario inicia la aplicación con sus privilegios y los demonios contenidos dentro de ese paquete de aplicaciones, a veces se diseñan de manera bastante molesta para luego registrarse de manera poco transparente como "inicio automático" dentro del contexto de ese usuario y con los derechos de ese usuario. Para descargar o cancelar el registro no se requieren derechos o permisos sudo/administrativos. Si el infractor se encuentra en /Aplicaciones, la eliminación podría depender de permisos más altos.