此处同意@Muhammad Saqib：https://stackoverflow.com/a/46183706/2496464

@Mumair提供了良好的开始步骤：https://stackoverflow.com/a/35411378/474330

假设您分发到用户设备的所有内容都属于用户，这总是安全的。简单明了。你也许可以使用最新的工具和程序来加密你的知识产权，但没有办法阻止一个有决心的人“研究”你的系统。即使目前的技术可能会让他们很难获得不需要的访问权限，明天，甚至下一个小时，可能会有一些简单的方法！

因此，方程式如下：

说到钱，我们总是认为客户是不可信的。

即使在游戏内经济这么简单的情况下。（尤其是在游戏中！那里有更多“老练”的用户，漏洞在几秒钟内就扩散了！）

我们如何保持安全？

大多数（如果不是全部）关键处理系统（当然还有数据库）都位于服务器端。客户端和服务器之间存在加密通信、验证等。这就是瘦客户端的概念。

在Android中，源代码和资源的100%安全是不可能的。但是，你可以让逆向工程师有点困难。您可以在以下链接中找到有关此的更多详细信息：

访问安全保存常量值以及针对应用程序开发人员的移动应用程序安全最佳实践。

工具：在应用程序中使用ProGuard，可以限制其对应用程序进行反向工程

100%避免Android APK的反向工程是不可能的，但您可以使用以下方法避免提取更多数据，如源代码、APK中的资产和资源：

使用ProGuard混淆应用程序代码使用使用C和C++的NDK将应用程序核心和安全部分代码放在.so文件中为了保护资源，不要将所有重要资源都包含在APK的资产文件夹中。在应用程序首次启动时下载这些资源。

如果你的应用程序如此敏感，那么你应该考虑服务器端的支付处理部分。尝试更改付款处理算法。使用Android应用程序仅用于收集和显示用户信息（即账户余额），而不是在Java代码中处理付款，请使用带有加密参数的安全SSL协议将此任务发送到您的服务器。创建一个完全加密和安全的API来与服务器通信。

当然，它也可能被黑客入侵，它与源代码保护无关，但考虑到它是另一个安全层，使黑客更难欺骗你的应用程序。

如果我们想让逆向工程（几乎）不可能实现，我们可以将应用程序放在一个高度防篡改的芯片上，该芯片在内部执行所有敏感的内容，并与一些协议通信，使控制GUI在主机上成为可能。即使是防篡改芯片也不能100%防裂；他们只是设定了比软件方法高得多的标准。当然，这是不方便的：该应用程序需要一些小的USB疣来保持芯片插入设备。

这个问题并没有揭示出想要如此谨慎地保护这个应用程序的动机。

如果目的是通过隐藏应用程序可能存在的任何安全缺陷（已知或其他）来提高支付方法的安全性，那么这是完全错误的。如果可行的话，安全敏感位实际上应该是开源的。您应该尽可能方便任何审查您的应用程序的安全研究人员查找这些信息并仔细检查其操作，并与您联系。付款应用程序不应包含任何嵌入证书。也就是说，不应该有任何服务器应用程序仅仅因为设备具有来自工厂的固定证书而信任该设备。支付交易应仅凭用户的凭证进行，使用正确设计的端到端认证协议，避免信任应用程序、平台或网络等。

如果目标是防止克隆，除了防篡改芯片之外，你无法采取任何措施来保护程序不被反向工程和复制，从而使某人将兼容的支付方法融入自己的应用程序，从而导致“未经授权的客户”。有一些方法可以使开发未经授权的客户端变得困难。一种方法是基于程序完整状态的快照创建校验和：所有状态变量，所有内容。GUI、逻辑等等。克隆程序将不具有完全相同的内部状态。当然，它是一个状态机，具有类似的外部可见状态转换（可以通过输入和输出观察到），但几乎没有相同的内部状态。服务器应用程序可以询问程序：您的详细状态是什么？（即给我一个所有内部状态变量的校验和）。这可以与虚拟客户端代码进行比较，虚拟客户端代码在服务器上并行执行，并经过真正的状态转换。第三方克隆人必须复制真实程序的所有相关状态变化，才能给出正确的响应，这将阻碍其开发。