Hace un tiempo realicé algunos trabajos sobre ingeniería inversa del protocolo de WhatsApp. En ese momento, estaba cifrado con SSL a través de Wi-Fi y texto claro a través de 3G. Es posible rootear su dispositivo Android e instalar un localizador de paquetes para volcar el tráfico; por lo general, también es posible instalar su propio CA para MITM tráfico SSL.
La pregunta interesante será si está cifrado dentro de el contenedor SSL, porque SSL es de dispositivo a servidor, no de extremo a extremo.
El envío de un mensaje M, debe producir un paquete P, de datos enviados, posiblemente fragmentados. Si el dispositivo receptor no obtiene P, pero en cambio obtiene algo diferente, entonces no está correctamente cifrado de extremo a extremo o existe un sistema de "tunelización".