If I could rephrase my Q would be:

- if its good enough to sign the apk/zip, why signing a hash? Isnt it an extra step?

Exacto el SO operativo anfitrión dónde será instalado el APK deberá tener el mecanismo de reconocer esa firma como válida y permitir la instalación, o en su lugar informar que contiene o no una firma inválida. En el caso del hash como lo has dicho sería para validar la autenticidad de lo descargado y que es bit a bit igual al origen