O 'malware' destaca-se não só por roubar credenciais financeiras, mas também pela sua capacidade de monitorizar aplicações de mensagens encriptadas. O Sturnus é distribuído através de campanhas de 'phishing' e, uma vez instalado, concede aos atacantes controlo total sobre o dispositivo infetado. A sua principal função é roubar credenciais de aplicações bancárias através da sobreposição de ecrãs de 'login' falsos que imitam as interfaces de aplicações legítimas. Contudo, a sua característica mais alarmante é a capacidade de comprometer a privacidade de plataformas de mensagens seguras como o WhatsApp, Telegram e Signal. O 'malware' não quebra a encriptação de ponta a ponta; em vez disso, utiliza as permissões do Serviço de Acessibilidade do Android para ler o conteúdo diretamente do ecrã quando as mensagens são exibidas ao utilizador.

Desta forma, consegue intercetar as comunicações sem ser detetado, contornando a proteção da encriptação.

Segundo a empresa de segurança ThreatFabric, embora o Sturnus já esteja totalmente funcional, parece estar ainda nas suas fases operacionais iniciais, o que sugere a preparação para uma campanha de maior escala no futuro. Esta ameaça sublinha a importância de os utilizadores serem cautelosos com as permissões que concedem às aplicações e evitarem a instalação de 'software' de fontes não fidedignas.