Windows tiene un sistema de firmas bastante bueno. Me preguntaba si Android tiene un sistema de firma para APKs.
Si este fuera el caso, ¿son autofirmados? ¿Las aplicaciones de Play Store están firmadas por Google de alguna forma?
¿Es posible usar esta detección de firmas para detectar si una aplicación es de Play Store?
Todas las aplicaciones de Android deben estar firmadas por desarrolladores que utilicen certificados autofirmados o por terceros, como un OEM, un operador móvil o un mercado alternativo. Cuando las aplicaciones se actualizan, las versiones actualizadas deben estar firmadas por el mismo desarrollador. Además, las aplicaciones pueden compartir permisos si están firmados por el mismo desarrollador.
Las aplicaciones en Google Play también están firmadas por Google Play. De forma predeterminada, Android bloquea la instalación de aplicaciones que no están firmadas por Google Play, a menos que el usuario haya habilitado específicamente la opción "Fuentes desconocidas" en Configuración de seguridad.
Referencias:
Lea otras preguntas en las etiquetas android code-signing