Então, basicamente tu precisa pegar uma ou mais chaves que foi fornecida pelo dev e depois que baixar o app verificar se as chaves batem e assim depois instalar. É tedious, mais ainda no android...
Discussion
Se a chave não bater é que o software foi adulterado...
Procure por: how to verify signature...
Melhor: how to verify APK signature obtainium
Isso é só algo a mais para a segurança ou algo basilar que deve ser necessariamente feito para não dar problemas maiores?
É coisa básica necessária, muita gente não faz por confiar na origem, mas vai q por exemplo tu baixa o bitcoin core e não assina e vem adulterado (pelo GitHub que gerou o release) com backdoor ou algo do tipo... Não sei se no obtainium é possível add assinaturas ou vai ter que baixar de outra maneira e verificar via termux...