Vamos por partes: se necesitan dos cosas:
La primera que obtengan tu código de acceso, lo cual es relativamente complicado sobretrodo si accedes desde un ordenador que sea limpio de porquerías preferiblemente con linux o mac por haber menos troyanos que en windows
Posteriormente tienes que haberte descargado una app que tenga acceso a tus sms y que, además esté infectada.
Personalmente, cuando accedo a banca online, lo hago con el modo paranoico ON. desde una distro de linux que solo uso para estos menesteres y que además está encriptada (jamás desde un móvil). y las claves las recibo en un movil android, en el que NUNCA descargo apps que me resultan dudosas, o que exijan permisos inapropiados, ni archivos dudosos. Lo cual implica que para desvalijarme la cuenta, tienen que hackearme, sin que yo me de cuenta, dos dispositivos y van a necesitar acceso físico a ambos. No sé vosotros, yo lo veo complicadillo...
Otra cosa, bien diferente, es que se acceda al área cliente desde el móvi, que el SMS se reciba en el mismo móvil, y que como todo usuario promedio de Android que se precie (con el coeficiente intelectual de una lenteja), en ese móvil te hayas bajado apps (wallpapers mega-chulos, linternas mega-fashion...) de orígenes dudosos a las que has dado permisos incluso para cagarse encima tuyo, o que te hayas bajado arcghivos dudosos opero muy "graciosos" usando el guasap.
En este caso, te mereces lo que te pase, por memo.