Нарратив об «опасности» VPN-сервисов строится не столько на мнимной опасности подключения к чему-либо зарубежному, сколько на большой «угрозе», исходящей от приложений (читай: клиентов) VPN-сервисов.
Стоит отметить, что если первую часть «уравнения» ещё можно обосновать заботой о «сохранности» данных своих сограждан, то вторую — только полным незнанием базовых принципов работы современных ОС.
Начнем с основ. Мобильные операционные системы (iOS, Android) и некоторые стационарные (macOS, Linux*) изолируют приложения друг от друга — грубо говоря, не получив специальный «пропуск» на использование камеры или просмотр галереи, без дорогостоящей цепочки уязвимостей программа не сможет получить к ним доступ.
Единственным «исключением» из правил являются «системные» приложения — остальные, вне зависимости от собственной «значимости», действуют строго в установленных «правилах» игры. С точки зрения системы, клиент VPN-сервиса ничем не отличается от мессенджера Max, Telegram, или любой другой «пользовательской» программы.
Даже если любой из перечисленных примеров окажется зараженным, без «пропуска» от вас украсть какую-либо информацию он не сможет. Это, в том числе, обусловливает высокую цену шпионского ПО — обойти «правила» далеко не самая простая задача.
Отвечая на поставленный вопрос, — нет, не могут. Важно заметить, что для поддержки модели безопасности ОС вам необходимо регулярно устанавливать обновления ПО, желательно в первые четыре дня от их публикации.
Примечание: обычные программы в Linux имеют минимальную изоляцию, но использование контейнеров Flatpak/AppImage это исправляет.