Diciamo che, se il malfattore invia, per esempio, 10000 SMS di phishing sparando nel mucchio e dicendo "sono la banca, clicca qua, ecc. ecc." e uno clicca, molto probabilmente finisce su un sito truffa, in cui magari inserisce il proprio numero di telefono... oppure, considerando come funzionano le mail di phishing (che contengono link personalizzati), sapendo quale link e' stato aperto, si sa immediatamente il numero di telefono della vittima.
Ecco, questo potrebbe rappresentare l'innesco di tutta la truffa, ovvero il punto da cui parte la chiamata del finto operatore bancario e poi, con varie tecniche, o guida passo passo l'utente a installare l'apk malevolo (che prende il controllo totale del telefono con keylogging, screenshots, intercettazione di SMS, ecc.), oppure gli si chiede di rileggere i codici OTP "per conferma", magari di un bonifico gia' disposto dal malfattore, che ha carpito i dati dal sito truffa stesso.
In ogni caso, nella vicenda vedo un mix di ingegneria sociale, capacita' tecniche del malfattore e "collaborazione" da parte dell'utente.
Ecco, cosi' mi sembra che la spiegazione stia in piedi.