Esta es una tarea de tontos. Incluso si usted pudiera ofuscarlos lo suficiente en el código fuente, aún sería un juego de niños conectar el dispositivo a un proxy como Fiddler o Burp Suite, y ver las URL sin formato como el día en que la aplicación se está ejecutando. No es necesario mirar su código fuente, y no hay absolutamente nada que pueda hacer para proteger las solicitudes HTTP, e incluso las solicitudes HTTPS en este caso, por varias razones.
Entonces, como se sugirió en el comentario, debe proteger los puntos finales expuestos por su servidor a través de la autenticación y la autorización. Disfrazar la dirección simplemente no es una opción viable.