Wie scannt Apple nach Paragon

In dem Artikel vom Guardian geht es um das Ausspionieren von kritischen Journalisten in Italien mittels Paragon.
Der Satz

On Tuesday evening I received a notification from Apple informing me that it had detected a mercenary spyware attack targeting my device

wirft bei mir einige Fragen auf:

• wie scannt Apple auf Schadsoftware generell und im speziellen auf Paragon? Macht es das mit jedem Gerät in jedem Land?
• wie entdeckt Apple Paragon? Dazu müsste doch das Device selbst untersucht werden, oder?
• wenn Apple in der Lage ist Paragon auf den Geräten zu entdecken, ist diese Software doch nutzlos. Oder gibt es hier Absprachen?

Ich gehe davon aus, dass man kaum genaue Informationen darüber bekommen kann, finde es aber spannend, welches Wissen es darüber gibt.

Ich kenne keine gesicherten Informationen könnte mir jedoch vorstellen, dass nicht der „Trojaner-Befall“ selbst von Apple detektiert wird, sondern der Angriffsversuch basierend auf der Vermittlung der iMessage- oder Facetime-Kommunikation von bekanntermaßen in der Vergangenheit für Angriffe genutzte Quell-Accounts.

Bei den allermeisten Kommunikationsdienten (E-Mail, Telefon, Messenger, …) fallen ja bei den Kommunikationen Meta-Daten wie Absender und Empfänger an und ich denke Apples Dienste stellen hier keine Ausnahme dar.

Wenn Apple im Rahmen der Analyse von bekannten gewordenen Manipulationen über die Angriffsquelle (Account) informiert wurde, kann prinzipiell die weiteren Kommunikation dieser Quelle überwacht und die Empfänger alarmiert werden.

Meine Vermutung ist, dass auf diesem Weg die Erkenntnisse für eine solche Alarmierung potentiell angegriffener Personen erfolgt.