Todas las aplicaciones de Android deben estar firmadas por desarrolladores que utilicen certificados autofirmados o por terceros, como un OEM, un operador móvil o un mercado alternativo. Cuando las aplicaciones se actualizan, las versiones actualizadas deben estar firmadas por el mismo desarrollador. Además, las aplicaciones pueden compartir permisos si están firmados por el mismo desarrollador.
Las aplicaciones en Google Play también están firmadas por Google Play. De forma predeterminada, Android bloquea la instalación de aplicaciones que no están firmadas por Google Play, a menos que el usuario haya habilitado específicamente la opción "Fuentes desconocidas" en Configuración de seguridad.
Referencias:
enlace
enlace
enlace