Todo lo que tienes hardcode en la app (cuentas, passwords...) debería de estar encriptado (mejor que no esté, pero si está que lo esté), luego deberías de utilizar SSL para las conexiones para que no puedan sniffar los datos que se envían y reciben y para evitar la ingeniería inversa se utiliza Proguard (la versión 4.8 funciona con Oracle JDK 7). Hay un tutorial en android developers de como habilitarlo y en la web de Proguard.