Suponiendo que esa persona pueda filtrar el APK a otra persona con experiencia en seguridad (e incluso decir la contraseña), ¿cómo me aseguro de que la aplicación esté (prácticamente) inaccesible para cualquier persona que no sea esa persona?
Puede usar varias comprobaciones en el propio dispositivo para verificar que la apk no se haya compartido (IMEI, ID de Android, número de teléfono, etc.). Es probable que esto solo sirva para desacelerar a la otra persona "con experiencia en seguridad" para que no tenga acceso. Dado el nivel correcto de conocimiento, habilidad, tiempo y determinación, un individuo inteligente puede falsificar todas estas propiedades de identificación.
Todo depende de lo mal que te importe que otra persona pueda tenerlo en sus manos.
Puede limitar la entrada agregando una página de inicio de sesión con Google o Facebook Oauth. Y solo se permite la entrada con determinadas direcciones de correo electrónico.
Lea otras preguntas en las etiquetas account-security