- Han explotado una vulnerabiidad.
- Han infectado tu ordenador o viceversa para que el uno infecte al otro.
- Te han colado una app gremlin y les has dado permisos.
- Tienen tus tokens de la cuenta de (asumo Google) y pueden hasta envirar corres o editarlos sin que te aparezca nada a tí, entre otras cosas. Sin necesidad de tu contraseña y saltándose el doble factor.

Te recomiendo que denuncies (te quedarás un tiempo sin ambos dispositivos).

O lo más lógico, formatea todos los dispositivos, incluyendo pendrives, memorias, etc. Cambia todas tus contraseñas y mira qué permisos tienen las apps instaladas y bórrala. MIra si te han instalado algo en tus cuentas(wordpress, etc) o en tu navegador (extensiones temas y demás).