Следовало бы уточнить, для чего вам это нужно?
Если защитить пользователя и передаваемые данные, то обычного https вполне достаточно. Ну, во всяком случае VK считает именно так, а пользователей у их приложений достаточно.
Если же вы пытаетесь защитить само API, то про Android можете забыть сразу. Разбирается абсолютно все, а дальше восстановление полной структуры API становится всего лишь вопросом времени. Фактически, мне еще не встречались программы под Android из которых было бы нельзя вытащить структуру API.
Возможно, вынеся API в нативную часть с помощью Android NDK, что-то защищенное можно получить, но подобных решений я еще не видел. Даже приватные API пишутся на простой Яве + иногда (достаточно редко) сверху обрабатываются обфускатором, который всего лишь замедляет разбор.
Простой