Claud Xiao đã phát hiện ra AdThief ( hay cũng được gọi là Spad ) vào tháng Ba 2014 . tuy nhiên chi tiết về mã độc này lại được nhà nghiên cứu Axelle Apvrille công bố .

Mã độc này chỉ làm việc trên những thiết bị iOS đã bị Jailbreak , có thiết kế chuyển doanh thu cho tin tặc được tạo ra khi người dùng bấm vào đoạn quảng cáo trên những thiết bị bị lây nhiễm . Điều này được thực hiện bằng phần mở rộng Cydia Substrate .

Cydia Substrate là Framework có thể thay đổi những quy trình hiện tại trên những Gadget của thiết bị iOS Jailbreak . Nó cho phép gắn vào những tính năng hợp lệ của quy trình cho phép tin tặc có khả năng thêm sự thay đổi tùy biến .

Trong trường hợp này những tính năng quảng cáo đã bị thêm vào và ID của nhà phát triển bị thay đổi bằng một tổ chức của tin tặc và kết quả là điện thoại đã bị cướp quyền điều khiển và tin tặc thu được tiền từ việc bấm vào nút quảng cáo .

Bằng cách phân tích những tính năng tin tặc gắn vào , Claud Xiao có thể nhận dạng Kit quảng cáo là mục tiêu của mã độc ; hầu hết là Trung Quốc , nhưng một số lại ở Mỹ và Ấn Độ : YouMi, Vpon, MobClick, Umeng, AdSage/MobiSage, MdotM, InMobi, Domob, AdWhirl, AdsMogo, Google Mobile Ads SDK, AderMob, Weibo, MIX SDK và Poly SDK.

Theo đánh giá đã có khoảng 75.000 thiết bị iOS đã bị lây nhiễm và tiền thu được từ 22 triệu quảng cáo đã vào túi của tin tặc nhưng không đề cập tới số tiền là bao nhiêu .

AdThief bắt đầu lây nhiễm vào các thiết bị iOS Jailbreak từ 10/12/2013 và khoảng 20/3/2014 các chuyên gia đã thấy khoảng 22.000 thiết bị lây nhiễm hoạt động mỗi ngày .