A sua metodologia de ataque contorna a encriptação ponto a ponta, lendo o conteúdo diretamente do ecrã do dispositivo. Identificado pela empresa de segurança ThreatFabric, o Sturnus é um trojan bancário distribuído através de campanhas de phishing, disfarçando-se de aplicações de sistema. A sua função principal é roubar credenciais bancárias através de ataques de sobreposição (overlay attacks), nos quais exibe ecrãs de login falsos sobre as aplicações bancárias legítimas.

No entanto, o que torna o Sturnus particularmente perigoso é a sua dupla capacidade.

Este malware explora as permissões do Serviço de Acessibilidade do Android para obter controlo total sobre o dispositivo infetado, permitindo-lhe monitorizar qual a aplicação que está a ser executada em primeiro plano.

Quando o utilizador abre uma aplicação de mensagens encriptadas como o WhatsApp, Telegram ou Signal, o Sturnus consegue ler tudo o que é exibido no ecrã. Desta forma, não quebra a encriptação ponto a ponta; em vez disso, espera que a própria aplicação decifre e exiba as mensagens para o utilizador, capturando então o conteúdo.

Esta técnica concede aos atacantes acesso a conversas privadas.

A ThreatFabric refere que, embora o malware esteja totalmente funcional, parece estar nas suas fases operacionais iniciais, o que sugere que poderá ser um precursor de uma campanha em maior escala.