Влезли в телефон?

Вопрос каким образом проникли в его телефон и как защититься на будущее?

Не ставьте что попало, и не давайте лишних разрешений.

Карточка с телефонным номером с 2FA ставится в старый кнопочный телефон
Данный номер не знает никто кроме владельца и сервисов

Для компрометации телефона на андроид есть эксплоиты, которые позволяют получить контроль над устройством без всякого взаимодействия с пользователем. Достаточного включеного на телефоне bt или wifi. Можно почитать тут или тут. А тут: https://github.com/Kogl1n/Blueborne -- готовый эксплоит. Он под Huawei, но разница несущественна, его легко перепилить под любое другое устройство.

Векторов атаки полно -- андроид очень дыряв. Версии с 8-ой стало получше, но всё равно, китайские модели имеют кучу предустановленного/кастомизированного софта с дичайшим количеством уязвимостей, и найти эксплоит под конкретную модель, тем более под такую старую, как Redmi 5A -- сложностей не составляет. И да, это проникновение можно провернуть по-тихому.

Опять-таки, это не говорит о том, что вектор проникновения и угона аккаунта -- это именно телефон. Вы не написали, что означает "угнали акк". Потому что в случае с сервисами Гугла часто даже угонять ничего не надо, достаточно пару раз пожаловаться с левых аккаунтов на нарушение копирайта, и гугл закроет канал. Вот тут, например, похожие истории описываются: https://habr.com/ru/post/438670/

Вопрос каким образом проникли в его телефон и как защититься на будущее?

1. Не факт что проникли именно в телефон. (50/50)
2. Ставить на телефон сразу антивирус комплексной защиты (файлы, файрволл, Wi-Fi безопасность, контроль доступов приложений), не рутить, не юзать публичные Wi-Fi сети, следить за доменами в адресной строке браузера, отключать беспроводные модули при неиспользовании.
(или рутить, заранее зная: что и как настроить правильно)