Ничто не мешает кому-то извлекать ресурсы - для этого даже есть API. Однако изменить содержимое установленного файла APK невозможно, поскольку этот файл имеет цифровую подпись.
Кто-то, имеющий root-доступ, может получить APK-файл, связываться с его содержимым и переподписать его для своих собственных целей, по крайней мере, теоретически.