Приложение работает через API, и там используется подпись для каждого запроса (sig), которую не сгенерировать, не зная секретного ключа. Т. е. даже без шифрования вы ничего не сделаете. Но сейчас помимо этого еще и шифрование используется. Как вариант, если пропустить трафик через mitmproxy, то теоретически можно убить сессию (ни разу так не делал с мобильными приложениями), либо, если есть возможность взять аппарат в руки, то нажать выход. Тогда в запросе к oauth.vk.com вы увидите пароль.