Автор, а расшифровку приведенных банком служебных сообщений вы получили ? Что это, если авторизация покупок, то это не интересно, вам нужен момент привязки чего-то там к вашей карте.
Вы упоминали, что перед взломом вам позвонили, вы взяли трубку, видимо это - снятие трубки и является неким моментом, когда злоумышленники получили некий идентификатор вашего обмена с серверами банка. Иначе нет смысла привлекать к себе внимание. А далее вы сказали, что был вал сообщений, это вы ведь про push сообщения говорили ? Возможно, что здесь уже расчет был на пропуск вами одного важного уведомления о привязке. Вот этот мешок пуш сообщений и надо запросить у банка, т.к. по странному стечению обстоятельств, они не сохраняются на устройстве пользователя, видимо, чтобы ему никогда не докопаться до истины в таких вот случаях. Это еще не дыра в безопасности, но как минимум козырь в руках банка, пользователь ничего не сможет доказать не имея этих сообщений. И поискать в этом мусоре важное сообщение о привязке.
После вашего пересказа произошедшего я долго думал, как это технически может происходить и пришел к выводу, что звонок играет ключевую роль в этом процессе. Т.к. и звонки и пуш сообщения идут у оператора в виде пакетов данных. Получив идентификатор из звонка, далее, на основе фильтра из этого идентификатора, перехватывается пуш сообщение с кодом привязки. Естественно для этого нужен физический доступ к трафику вашего звонка и пуш сообщения. Но изюминка в том, что доступ нужен на границе сети, там, где сотовый оператор уже почти ничего не защищает, т.е. доступ может бвть у широкого круга лиц. Плюс сейчас весь трафик активно прослушивается госорганами и их всевозможными субподрядчиками, т.к. сами госорганы только бумажную работу проводят, ничего не стоит перехватить ваш трафик на таких точках.