Имеет ли смысл в современном нерутованом android держать банковские приложения на отдельном устройстве?

. Оф. прошивка обновляется производителем с т.з. security патчей

Если это не один из крупных ААА брендов (хотя и в них бывают исключения) - то больше всего дерьма именно в стоковой прошивке и встречается.

Вопрос в том, что может получить сторонний app на нерутованом android из другого приложения?

Если сами разрешите доступ к фс - максимум будет доступ к /storage/0 - медиа, загрузки и прочее. Никакие приложения не хранят там ничего ценного для самого приложения. А банковские тем более. Всё "недотрагивамое" лежит в системных директориях. И очевидно что никакой предназначенный для рядового пользователя сторонний софт не попросит прав спец возможностей или не дай бог администратора. Такой специфичный софт вам не понадобится я так понимаю.

Может ли сторонний app открыть банковское приложение, ввести код доступа и нажимать кнопки уже в самом банковском приложении?

А еще записать голосовое тете Ирине и перевести ОК-и в одноклассниках на чужой аккаунт! Нынешние андроиды не позволяет такого без рута.

Про overlay в курсе, что можно пробрасывать события нажатия экрана, а для отдельных кнопок при разработке указать, что такие события тача не будут на них срабатывать.

Не сработает в вашем случае. Бнковские приложения тоже стараются (надеюсь) защищать. И разработать такое я думаю довольно не быстрое дело.

Конечно можете не согласиться всем этим, а я не смогу ничего доказать фактами. Но свое мнение я расписал

P.S Миллионы пользуются всем этим как есть, но обычный и надёжный по моему мнению способ - привязать все действия к смс, а эту симку держать в кнопочном мобильнике за 900р.

John Smith, 2FA - сомнительная вещь. Обычно это SMS на тот же телефон.