Android: проверка целостности приложения на стороне сервера

Ни за что. Все, что находится в руках пользователя, больше не принадлежит вам. Даже если вам каким-то образом удастся передать APK на сервер для проверки, ничто не мешает взломанной программе отправить оригинальную копию на сервер.

Вы пытаетесь решить известную проблему:

1. Никогда нельзя доверять приложению на открытом устройстве (мобильный телефон, стационарный компьютер). Чтобы ему доверять, он должен быть защищен от несанкционированного доступа. Примером такого устройства является смарт-карта. Мобильные устройства, конечно, не то.

2. Вы никогда не должны отправлять данные на устройство, которое пользователь не должен видеть. Следствием этого является то, что вся бизнес-логика должна выполняться на сервере.

3. Все запросы к серверу должны быть аутентифицированы с использованием учетных данных пользователя (имя пользователя/пароль) и выполняться по защищенному протоколу (HTTPS/SSL).

Чтобы убедиться, что ваше программное обеспечение работает, клиентские устройства должны иметь возможность предоставлять услуги удаленной аттестации, что является одним из множества сокращений в TPM. Я обнаружил, что кто-то работает над предоставлением услуг TPM, включая IMA, что почти достаточно для того, что вы хотите.

Подробности здесь: http://www.vogue-project.de/cms/upload/vogueSoftware/Manual.pdf (Google Quickview).

Конечно, это эмуляция TPM и требует исправления ядра Android. Но, возможно, один из различных производителей захочет построить для вас модель с аппаратным обеспечением TPM?