Uma boa prática na utilização de APIs do Google é fazer a restrição via IP, servidor ou no caso de aplicativos via Fingerprint do App. Uma forma fácil de você fazer isto é utilizando o fingerprint SHA1 assim como no exemplo abaixo. No Keystore que você gerou para seu App que está na Google Play pegue a SHA1 através do seguinte comando.

keytool -list -v -keystore SeuApp.0.0.1.keystore

será gerado uma saída igual a esta abaixo:

Depois disto vá em Google API Console e adicione o SHA1 como o exemplo abaixo: