Azért nem vennék rá mérget, hogy ilyen-olyan sebezhetőséget kihasználva nem indítottak már valamilyen side-channel támadást eredeti app ellen. Vagy ott az eredeti app, és a fake app egy betű különbséggel. Aztán mellényúlsz. Desktopon is csinálhatsz linket a valódi oldalra, akkor nem a fake webhelyre fogsz csatlakozni.
Meg aki _minden_ kapott SMS-ét (OTP-t) elküldi a csalóknak, az azért menthetetlen, nekem a belépés után még bármit csinálok, minden művelethez kell új 2FA kódot beírnom.