Trojaner existerar, även i app store, så att undvika att "hjälpa till" är inte alltid lätt.
Att roota/jailbreaka mobiler är möjligt, det vet alla som hänger på ett forum likt detta.
Det har förekommit remote exploits som används för att installera övervakningsmjukvara. Övervakningsmjukvaran kan (eftersom den har root) naturligtvis övervaka vilka processer som körs och se vilka "knapptryckningar" som görs när en viss process är igång och alltså få ut PIN-koder.
Att installera mjukvara som kan fjärrstyra en mobil enhet är trivialt, det kan naturligtvis också göras programmatiskt, speciellt om man har root.
Så att det är tekniskt möjligt att använda någon annans BankId (på någon enhet där ute) borde vara ställt utom rimligt tvivel. Det svåra är ju att få till attackvektorn, speciellt om man är ute efter en viss specifik person. Men om man bara är ute efter att sprida ett stort nät och attackera en app som är vitt spridd (Bank-Id) så är det ju inte allt för komplicerat att hitta offer. Det bör räcka att "tipsa" på ett forum om någon viss mjukvara som innehåller en trojan. Mjukvara för att roota mobiler skulle till exempel vara en perfekt täckmantel.
Det krävs naturligtvis kunnande och tid för att sätta ihop en verktygslåda för att få till en hel attackkedja, men med tanke på att det sedan bara är att börja föra över pengar så är det ju inte otänkbart att någon kommer på tanken att lägga några månaders jobb för att åtminstonde attackera gamla ouppdaterade Android-telefoner med kända säkerhetshål. Att stater skulle kunna skaffa sig förmågan i syfte att sabba ett annat lands finansiella system är troligt.
Jag är osäker på om QR-koder helt kan omöjliggöra sådana attacker, men som nämnts i tråden är det inte universellt implementerat än och då är det ju ändå kört för ett visst offer, så länge det finns minst en långivare som inte kräver QR-kod.