Kodunuzu "Obfuscate" ederek okunmasını zorlaştırabilirsiniz. Ya da uygulamanızı "Webview" olarak yapabilir, direkt arayüzü api kaynağından renderlayabilirsiniz.
Ek olarak: Eğer depo kaynağı olarak kullanıcının telefonunun kullanıyorsanız, önemli bilgiler tutmamanızı tercih ederim çünkü client tarafında saklanan veriler uygulamanın dosyalarından da bulunabilir. Bu yüzden önemli datalarınızı sunucu tarafında depolamanızı tercih ederim.