Самый "правильный" способ описан здесь -
https://developer.android.com/tools/debugging/ddms.html
А так, во время того как раздаёте с ПК интернет (или с роутера), ставите любую снифалку трафика на ПК (тот же wireshark) и развлекаетесь. Этот способ надежнее.
Ещё надежнее - linux-роутер, к которому подключен wifi-роутер, который забирает интернет с linux-роутера (читай- обычного ПК с двумя сетевухами) и раздаёт его по wifi (дампить, соответственно, на linux-е).
Самое надежное - только своя фемосота и дампить трафик на ней)
Причина тут простая - многие зловреды перестают слать трафик, когда "видят" подключение к adhoc-сети (прямое подключение к ПК по wifi) или подключение к компу с включенным дебагом. Намного реже они таким образом реагируют на подключение к infrastructure-сети (роутеру/точке доступа), но роутеров с нормальным tcpdump я пока в природе не встречал.
