Není to jedno: appka funguje jen z registrovaného zařízení, a pokud použije ještě čtečku otisků, útočník ani přihlašovací údaje nedostane. A pokud ano, jsou jen pro appku, ne pro web.
Pokud si uživatel nenastaví stejné heslo, pak je v háji.
A o to mi šlo: že uživatel musí udělat ještě další chybu, aby ten trojan mohl posloužit k vyluxování účtu.