-snip- Malah lebih efisien nyepam email yang berisi reset kode 2FA karena akun Anda sedang dihack, dan semacamnya. -snip-
Tapi ini bukan merupakan ajakan kan? 
mengirimkan pesan dengan link ke aplikasi berbahaya yang kita buat, dan semacamnya
Kalau metode ini saya pernah melihatnya, seolah mengirim pesan berupa gambar tapi tidak kebuka dan target dikecoh untuk mengklik link tersebut untuk bisa melihat gambarnya, dari situlah spyware masuk ke smartphone target.btw, diskusi tentang 2fa panjang juga ya ...
@OP apakah sudah bisa ditarik kesimpulan dari permasalahannya?