Иван

Храните готовую sqlite базу в assets и при первом запуске копируйте её в /packagename/database, наиболее простой путь.

Полностью обезопасить мобильный клиент вы не сможете (если он под андроид).
Вон, у сбербанка сдк касперского встроен был защитный и это не помогло :)
Если захотят достать - достанут что угодно (сейчас есть пакеты которые рутуют телефон и от этого уже будет никак не защититься), механизмы защиты отреверзят и дешфируют ключи. Смс проверка тоже обойдется.
Также возможен фишинг поверх приложения банка при запуске его пользователем (детект по имени пакета).
Возможен фишинг через accessibility service.

Или вас интересует что-то совсем конкретное?

С помощью REST API получаете в первый раз все новости и пишите в локальную базу.
Потом проверяете на наличие новых новостей сверяя с id или timestamp последней новости и просто подгружаете ее, если данные обновились.