Usuário e senha de banco de dados estarão protegidos no servidor que contratou. Quem nao tem acesso ao servidor nao terá acesso a esses arquivos.
Da forma que você queria fazer, a senha do banco ficaria no app do celular de cada usuário, o que seria bem grave.
Já sobre segurança dos dados retornados ou postados via http, dá uma lida aqui:
https://blog.mandic.com.br/artigos/seguranca-em-apis-rest-parte-1/