Короче говоря, если у «плохих парней» есть доступ к физическим устройствам, их почти невозможно остановить. ИМХО, ваш лучший выбор - через API управления устройством. Используя это, вы можете требовать, чтобы пользователи вашего приложения шифровали свои устройства, когда они не вошли в систему, применяли минимальную надежность пароля устройства и даже стирали устройство после определенного количества попыток ввода неверного пароля. См. документацию для более подробного объяснения.
Таким образом, если устройство заблокировано, «плохой парень» не сможет получить доступ к внутренней памяти и украсть ваши файлы.