А я не уверен что сам бы так не сделал. проверка подписи изначального файла установки - это по классике для меня. Но вот трястись и думать от кого идет обнова, ну это уже как то слишком фольго шапочно. Кто ж знал что к интерфейску кроме разрабов имеет доступ любой говно сервер к которому подключается кошелек.

Единственное, что могло бы остановить - говно сайт. я уверен такое еще можно заметить будучи достаточно внимательным.

Вообще, такой способ фишинга это уже не хакинг, а соц инженерия в чистом виде. Ну кому в голову придет что запросы на обновы в приложении могут приходить не только от разрабов?