Technikailag azért ez is lehetséges, bár az támadások 99%-a valóban nem ilyen.
Ugye a Pegasus simán 0-click módon települt, az üzenetkezelő alkalmazás hibáját exploitálva. Aztán egy komplett exploit-láncon át teljesen root szintig ownolta is a telefont. Innentől megszerezhető a banki appod privát storage részén eltárolt kulcsa, ami akkor jött létre amikor az appot párosítottad a bankszámláddal. A "feloldómintákat" a banki app maga ellenőrzi lokálisan, innentől az védelmet már nem nyújt. A támadó az app kulcsával autentikálni tud a bank API-ja fele, a 2FA push üzeneteit tipikusan szintén a banki app kezeli, így a támadó ezt is el tudja végezni. Vagyis részedről nem kell semmi interakció, és viszik a pénzedet, hacsak a bank anti-fraud rendszere nem jelöli gyanúsnak.
Ha az adott malware az első lépést nem tudja megcsinálni (éppen nincs ismert clickless sebezhetőség az adott üzenetküldő appban), akkor fog kelleni az a bizonyos "rákattintasz". Itt van rögtön példának az általam fentebb linkelt "Godfather" elemzése (https://zimperium.com/blog/your-mobile-app-their-playground-the-dark-side-of-the-virtualization), ahol az "Initial Access: T1660, Phishing"-et adtak meg, tehát kell egy kezdeti interakció a felhasználótól, de onnantól már magától tudja pwnolni (saját virtualizált környezetbe bewrappolni) a telefonon az appokat.