Ответ гугл плей следующий: за сайдлод декса бан или предупреждение с просьбой убрать сайдлод.
Сайдлод js - ок
Сайдлод как доп файл с плея - ок

>Сайдлод как доп файл с плея
валидируется при экстрактинге, резонно

Любые другие рантаймы имеют право ходить за бинарём и исполнять его если у него нету доступа к Android API

Разве что только если open source, и не заказать, а предложить участие.
Но вообще, оффтоп.

"Комната для обсуждения Android Dev подкаста apptractor.ru/AndroidDev/

Все остальные вопросы по Android можно задать тут:
https://t.me/android_ru

Более полный список чатов про Android разработку и не только:
http://t.me/devChats"

Кстати, когда-то копался в приложении Mi Home (https://play.google.com/store/apps/details?id=com.xiaomi.smarthome). Насколько я помню, там оно скачивало и лоадило дексы со своих китайских серверов. Это были "плагины" для каждого из их умных устройств. Получается есть исключения?

Кстати, у али есть фреймоворк для подобных же целей.
https://github.com/alibaba/atlas

А кто сказал, что это для прод apk, а не разработки?

Да, подтверждаю. В полиси про это написано. А именно:

We don’t allow apps that steal data, secretly monitor or harm users, or are otherwise malicious.

An app distributed via Google Play may not modify, replace, or update itself using any method other than Google Play’s update mechanism. Likewise, an app may not download executable code (e.g. dex, JAR, .so files) from a source other than Google Play. This restriction does not apply to code that runs in a virtual machine and has limited access to Android APIs (such as JavaScript in a webview or browser).

Здесь всё очень четко и понятно. Загружать испольняемые .dex, .jar, .so и другие (т.к. e.g. включает, но не ограничивает) можно только если они загружаются из Google play.

JS можно загружать т.к. у него ограниченный доступ к платформе.

Всё остальное – БАН!

Как отрезал.

при этом загружать dex через expansion pack можно без проблем.

Можно, т.к. ты загрузажешь это из Google Play. К экстеншенам есть свои требования.

правда учитывая все особенности и требования к экстеншенам, загружать маленькие куски таким образом не самое правльное решение, кмк. Как и постоянно грузить большие куски или обновлять версию

к сожалению гугл не дал другого способа грузить декс
было отлично если бы гугл плей команда, которая почему-то совсем отдельно от фреймворк тим, прислушалась к девелоперам ;)

например как идея грузить .so файл который бы "исправлял" оригинальную аппу что бы она вообще запускалась после верификации валидности ее с точки зрения хакинга.

Не будет возможности отдельно грузить .dex или что-то исполняемое, ибо это не секюрно, а мы же вроде про секьюрити и говорим ;) Сделано это было для разработчиков, как и экстеншены

так почему бы не сделать секьюрный способ аплоад декса через плей а не костыли через expansion pack?

это отвратительно же, по сути у тебя в плей сторе аппа, работа которой зависит от хрен пойми чего. Пользователь скачал (купил), а оно не работает, потому что недоступен бек атора, у котрого .so лежат или там какая-то ошибка совместимости. Я скачал аппу, она не работает. Я буду недоволен и мне плевать что в этом виноват не андроид и гугл. Я же не знаю как она работает

да и есть разные способы обеспечения безопасности

ты уже говоришь про default user behaviour