Como dice @StefHeylen, generalmente no puedes. Y como dice @ d1str0, Burp es una forma de ver si el tráfico está encriptado, si puedes hacer proxy de la aplicación a través de él.
En realidad es peor que eso, ya que las aplicaciones móviles no siempre hacen una única conexión a un servidor. No es raro que utilicen HTTP para algunas partes, y HTTPS para otras. También pueden hacer algunos otros trucos que los navegadores normales generalmente no tocan. Por ejemplo, pueden certificar pin y rechazar su ejecución si no pueden establecer una conexión segura a un servidor específico.
Por lo tanto, es perfectamente posible tener aplicaciones móviles que se nieguen a ejecutarse cuando se procesan por proxy (porque se conectan a un servidor HTTPS específico con un certificado específico, lo que significa que Burp falla), pero que luego envían datos de pago a través de medios no cifrados a un diferente servidor. La única forma de observar esto es a través de la inspección de paquetes usando algo como Wireshark: verás un montón de datos encriptados, y luego algunos datos sin cifrar (a menudo JSON o XML) se envían a un servidor diferente.
También es posible que los datos de pago se envíen correctamente, y luego los scripts de terceros para el monitoreo de estadísticas (por ejemplo, ver qué tan lejos llegan los usuarios a través de los formularios dentro de la aplicación) para enviar los mismos detalles a través de canales no cifrados porque el desarrollador de la aplicación no ha No se excluyen los campos de pago.
Todo el sistema de aplicaciones móviles está desordenado. Respaldé el consejo de Stef para evitar realizar pagos utilizando aplicaciones, si es posible. Si no puede, considere usar una tarjeta específica para esos pagos, que monitorea regularmente para transacciones inusuales.