1) чтобы прослушать ssl-траффик (https) необходимо в ОС (для chromium) или в браузер (для firefox) установить свой доверенный ssl-сертификат (от программы которой будем прослушивать)
2) в AndroidOS есть разделение на пользовательские (можно установить без root-доступа) и системные сертификаты (нельзя установить без root-доступа), "добрый" google начиная с 7 андроида сделал так, что пользовательские сертификаты не принимаются приложениями (без специального флага в манифесте каждого приложения).
3) Т.е. у вас есть 3 варианта решения: А) поставить root, сделать сертификат системным (программой MoveCerts или перекинуть вручную) Б) отредактировать APK конкретного приложения для доверия пользовательским сертификатам В) использовать VirtualXposed - он автоматически модифицирует устанавливаемые APK-файлы так, что SSL-верификация полностью отключается (могу ошибаться, но SSL-pinning точно отключает)
4) Новая технология SSL-pinning, которая обычно используется банковскими приложениями, это когда сертификат вшит прямо в APK. Решение: А) подменить сертификат на свой внутри APK Б) VirtualXposed В) Иногда работают Xposed-модули для отключения SSL-pinning: JustTrustMe, TrustMeAlready, SSL-Unpinning (модули давно не обновляются и очень вероятно уже не работают). Более того в особо гадких приложениях присутствует своя верификация SSL-pinning (например Авито или различных игровых), которую универсальными способами не обойти.
5) Иногда внутри SSL-соединения трафик зашифрован дополнительно (как telegram), т.е. кроме зашифрованного мусора там мало что можно увидеть
Сложный
