Если был вход с чужого IP — значит увели пароль. Если бы проблема была именно в интерфейсе, например для рассылки спама использовался бы CSRF или XSS в веб-интерфейсе гугла, то в рассылке фигурировал бы ваш IP, т.к. действия тогда производились бы через браузер.
Другой вопрос, что не обязательно использовался троянец. Могла использоваться или опять же уязвимость в гугловом интерфейсе или уязвимость в браузере, чтобы подменить форму с ввода пароля. Повспоминайте не было ли такого, что пароль был запрошен в необычный момент, например, на чтении письма.