Т.е. код по sms приходит при логине и не зависит от содержимого транзакции? И после логина можно выполнить ровно одну транзакцию? И в теории троян может подменить одну транзакцию (другая сумма и получатель)?

Тогда логично усовершенствовать ещё - вместе с кодом в той же sms присылать содержимое транзакции, чтобы проверить. Или так и сделано?