Segundo a análise da ThreatFabric, o Sturnus, embora pareça estar em fases operacionais iniciais, já se encontra totalmente funcional e representa um perigo significativo.

O malware opera através da sobreposição de ecrãs de login falsos sobre as aplicações bancárias legítimas, capturando assim as credenciais inseridas pela vítima.

Além disso, concede aos atacantes controlo total sobre o dispositivo infetado, permitindo-lhes monitorizar a atividade do utilizador e ocultar as suas próprias operações maliciosas.

A sua característica mais notável é a capacidade de contornar a encriptação de ponta a ponta das aplicações de mensagens. O Sturnus não quebra a encriptação, mas utiliza as permissões do Serviço de Acessibilidade do Android para ler o conteúdo diretamente do ecrã quando as mensagens são exibidas ao utilizador.

Desta forma, o malware interceta as comunicações já decifradas pela própria aplicação, sem ser detetado.

A ThreatFabric alerta que o Sturnus pode estar a preparar-se para uma campanha de maior escala, o que exige uma vigilância acrescida por parte dos utilizadores de dispositivos Android, especialmente no que diz respeito à instalação de aplicações de fontes não oficiais e à concessão de permissões de acessibilidade.