apkファイルを解析しなくても、アプリを動かして通信をキャプチャすれば、サーバのIPアドレスは容易にわかります。なので、サーバーを特定されても問題ないように対策します。ファイアウォールもその一つですが、公開ウェブサイトと同様の対策というのがシンプルな説明になるかと思います。

ちょうどナウな実例でSmooz（サービス終了済み）があります。

つい最近、事件がありましたが、「これ、データ送信してない？」となったのも、アプリがどこに対してリクエストを行っているかを解析した結果の事です。詳細は、こちらの記事を見ていただくとわかりやすいかと思います。リンク先はiOSの画面ですが、Androidも同様のアプリを用いればプログラムなんて見なくても簡単に解析できます。

補足

念のために補足しておきます。
私は「Smoozの外部へのデータ送信の問題が...」といった理由で、当該話題・リンクを出したわけではありません。
ただ単純に最近の話題でそういったことが行われた。という理由で出しているだけです。特に深い意図はありません。

求めているのは「認証/認可」の話になると思います。
これらのキーワードを入り口に学習を進めてください。

であればどの様にしてIPアドレスを隠す？androidアプリから確認出来ない様にしているのでしょうか？

隠せません。

アンドロイドアプリのapkファイルを解析する事でサーバのIPアドレスを特定され、

サーバが攻撃を受ける事があるのでは？

仮にhttps通信でのAPIを用意したとすると、悪意ある利用者からは通常のWEBサービスと同じように攻撃を受けます。またアプリ利用者でなくても公開されている時点でサーバーに辿り着くことは出来るのでアプリと関係無く攻撃を受けます。

アプリ利用者が不正にパラメーターなどのデータを書き換えるセルフMITMみたいな攻撃を想定しているのなら、SSLにしてリクエスト内容を検証する作りにするだけで防げます。SSLは基本劇に鍵が漏れなければ解析出来ません。