No estoy seguro de si esa solicitud proviene de alguna aplicación integrada de Google o de alguna aplicación que se aprovecha de mi trabajo sin permiso.

Realmente no puede estar 100% seguro al mirar solo eso, podría ser una aplicación que incrusta su sitio web o un usuario legítimo que accede a su sitio web a través de un navegador de Android. Los diferentes navegadores envían diferentes encabezados HTTP (por ejemplo, el que ha notado), así como agentes de usuario.

Por ejemplo, si su sitio web se solicita a través de WebView (el componente de "navegador" que puede usar en una aplicación que podría usarse para hacerse pasar por su sitio web), debe obtener este tipo de agente de usuario:

 Mozilla/5.0 (Linux; Android 5.1.1; Nexus 5 Build/LMY48B; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/43.0.2357.65 Mobile Safari/537.36

La clave es wv aquí, que indica que la solicitud proviene de un WebView (Eche un vistazo a https://developer.chrome.com/multidevice/user-agent )

Asimismo, Google Spiders (y miles más) agregan otros encabezados/agentes de usuario.

Sin embargo, todas estas cosas se falsifican fácilmente, por lo que (en mi humilde opinión) al final del día realmente no vale la pena gastar demasiado tiempo y recursos en heurísticas complicadas que, como mucho, solo prohibirían a los imitadores más novatos.

Le sugiero que controle un poco esas solicitudes, y si en algún momento sospecha que no son legítimas, simplemente prohíbalas en el archivo de configuración del servidor.