Según la Documentación para desarrolladores de Android :
Android requiere que todas las aplicaciones estén firmadas digitalmente con un certificado. [...]
No es necesario que el certificado esté firmado por una autoridad de certificación.
Al menos en mi caso, varias aplicaciones con una pequeña base de usuarios, todas tienen firma automática.
Para aplicaciones autofirmadas, un tercero podría manipular el APK y autofirmarlo nuevamente. Esto sería bastante difícil de detectar para el usuario final. Stock-Android no comprueba si el certificado de firma de código es confiable.
Simplemente valida que, por ejemplo, en el caso de una actualización, es el mismo desarrollador del que provienen los dos APK:
Si publica una aplicación en Google Play y luego pierde la clave con la que firmó su aplicación, no podrá publicar ninguna actualización en su aplicación, ya que siempre debe firmar todas las versiones de la aplicación con la misma clave. .
Como @Noir ya lo dijo en su comentario: ya confías en Google, estás usando Android, por lo que ya tienen todas las posibilidades.