Eu quis deixar para responder essa com mais tempo.

Realmente é melhor baixar uma aplicação por uma loja de boa reputação, sem dúvidas. Mas o fato de uma aplicação não estar numa loja não atesta contra sua reputação em nada.

É claro que um fork do WhatsApp jamais seria permitido dentro da loja da Google Play Store porque viola os termos de propriedade intelectual que falam sobre a proteção de um código proprietário. Ou seja, WhatsApp não permite o uso de seu código por terceiros sem autorização e o fork em questão é não autorizado. Se ele conseguisse expor o fork na Play Store, não duraria um dia sem que ele fosse tirado do ar, não por conter ameaças, mas por violar termos de direitos autorais, só isso. Outros aplicativos não estão lá justamente por causa de termos que não tem nada a ver com segurança, por exemplo, os front ends do YouTube, que removem os anúncios, apps que fazem download de vídeos de YouTube, mesmo os de ótima reputação como o Seal e YTDLnis. Poderia citar também apps que baixam do Spotify. Sem contar que, para entarem lá, alguns aplicativos tem uma versão especial só para a Google Play Store que removem os recursos "proibidos", um exemplo é o Netguard e até o Telegram.

Sobre a F-Droid também quero citar exemplos práticos. Apps bons de código aberto também não estão lá, como o Signal e o Firefox. E é claro que eles cumprem os requisitos, inclusive apps que tem bibliotecas proprietárias também entram nos repositórios F-Droid, claro, com notificação de características indesejadas. Alguns apps podem ser baixado colocando repositórios de terceiros, inclusive o Firefox e o Signal, mas tem um detalhe: repositórios de terceiros também permitem que sejam baixados apps proprietários também, tem até repositórios que contém WhatsApp e Facebook. Então, para ser considerado de fato um app da F-Droid, precisa estar no repositório oficial.

Eu não tenho problema com apps de desenvolvedores solos e ou com time reduzido. NetGuard e FairEmail são exemplos de apps aclamados por sua segurança e que são desenvolvidos por uma pessoa só. Mas se esse é teu critério, respeito. Será que o Bluesky passa por esse crivo também?

Para um app pouco conhecido e estigmatizado como infrator de direitos autorais e integrante de uma classe de apps demonizado por muitos para que as pessoas não usem (aplicativos modificiados não autorizados) é demais requerer que tenha uma comunidade grande, não é?