我用攻击者角度，给你分析一下吧：
360 免费加固这种是可以秒脱的，毫无难度，甚至淘宝都有卖脱壳服务的，花点小钱就搞定了。但高级的加固也好不到哪去，无非就是多了个修复步骤而已；然后你前面说被反编译了之后还重新打包了，说明你没有采用一些能让反编译工具出错的防范措施，导致别人可以直接反编译出非常清晰的代码并直接导出使用。如果人家不需要大改你的 APP 的话，甚至直接在 smali 层面植入自己的东西就能搞完。
基本的安全措施没有做到位，发生这种事情很正常。

话说你所说的这种情况，是有人重打包了你的 APP 然后放到网上骗了一些普通用户，普通用户在你这充了会员之后，重打包的那人通过这个 APP 得到了普通用户的登录态，并用普通用户的登录态来免费用你的软件？
这基本无解的啊，你只能是尽量确保所有正规下载渠道（应用商店）都覆盖到你的正版 APP，避免普通用户下到重打包的盗版。或者，通过法律手段解决问题。

然后是楼下的建议：
在线服务、服务端验证...这种都可以忽略了，这种会员可见的模式只能通过反逆向和风控来限制。
加密逻辑或安全要求比较高的代码采用 native 实现可行，但也只能是增加成本而已。
代码里埋坑是可以的，但必须得要让人难以分辨出是干什么用的，不要混在主要逻辑中，要不然很容易被发现。另外，由于对方已经反编译并重打包过你的 APP，所以如果你要埋坑的话，一定要先把代码混淆和加固弄好了再发出去，要不然别人可以很轻易地通过代码对比发现你埋的坑。

---

其实所有设备 ID 、签名信息之类的都不可信，说白了就是客户端生成一下的事情...还是得要结合实际业务逻辑来做风控。