Parece-me que a imagem do disco está correta, e tudo errado é que o site tem o SHA256 errado listado por algum motivo.
Acabei de baixar a imagem do disco do link , e recebo a mesma soma de verificação SHA256 que você faz. O arquivo do aplicativo na imagem do disco tem uma assinatura válida do Google (veja abaixo), e não vejo mais nada na imagem do disco que possa ser suspeito. Observe que a imagem de disco em si não está assinada, mas isso não é um problema.
$ codesign -dvvv --deep /Volumes/Android\ Studio\ 3.1.3/Android\ Studio.app
Executable=/Volumes/Android Studio 3.1.3/Android Studio.app/Contents/MacOS/studio
Identifier=com.google.android.studio
Format=app bundle with Mach-O universal (i386 x86_64)
CodeDirectory v=20200 size=537 flags=0x0(none) hashes=11+3 location=embedded
Hash type=sha256 size=32
CandidateCDHash sha1=bac9739e22e0c9da7499d33bafc4b211b1950cc4
CandidateCDHash sha256=6507a87b8b1e550e5467d2a8ecd82c9dc02a27f4
Hash choices=sha1,sha256
CDHash=6507a87b8b1e550e5467d2a8ecd82c9dc02a27f4
Signature size=8949
Authority=Developer ID Application: Google, Inc. (EQHXZ8M8AV)
Authority=Developer ID Certification Authority
Authority=Apple Root CA
Timestamp=Jun 4, 2018, 2:33:20 PM
Info.plist entries=20
TeamIdentifier=EQHXZ8M8AV
Sealed Resources version=2 rules=13 files=13287
Internal requirements count=1 size=188
$ codesign -vvvv --deep /Volumes/Android\ Studio\ 3.1.3/Android\ Studio.app
/Volumes/Android Studio 3.1.3/Android Studio.app: valid on disk
/Volumes/Android Studio 3.1.3/Android Studio.app: satisfies its Designated Requirement
$ spctl -avvv /Volumes/Android\ Studio\ 3.1.3/Android\ Studio.app
/Volumes/Android Studio 3.1.3/Android Studio.app: accepted
source=Developer ID
origin=Developer ID Application: Google, Inc. (EQHXZ8M8AV)
$ codesign -dvvv ~/Downloads/android-studio-ide-173.4819257-mac.dmg
/Users/gordon/Downloads/android-studio-ide-173.4819257-mac.dmg: code object is not signed at all