Первым решением может быть использование обфускации (ищите ProGuard для Android, ресурсов много), а следующим может быть добавление дополнительной защиты, декодирующей все ваши строки с использованием одностороннего шифрования (алгоритмы как AES полезно).
Конечно, лучший вариант - избегать добавления ключей этого типа и перехода на серверную часть, добавляя код, который будет использоваться в клиенте Android. Конечно, это решение не всегда можно применить, но вы спрашивали себя, действительно ли ему нужен ключ на вашем клиентском устройстве? Если вы переместите свой ключ Twitter на сервер, который выполняет всю работу, связанную со службой Twitter (публикация, получение графика времени и т. Д.), Вам не нужно будет добавлять его в приложение, вам нужно будет только безопасно общаться со своими клиентами с вашим сервером. Я знаю, что это решение может быть применимо только в том случае, если у вас действительно мощный сервис (для этого нужно приложить немало усилий) и вы можете входить на свой сервер безопасными методами (SSL и т. Д.).